Kripto güvenliği: şifreler ve kimlik doğrulama

Bu canlı yayın, şifre yönetimi temellerinden çok faktörlü kimlik doğrulamaya kadar, kripto para sahipleri için temel güvenlik uygulamalarını kapsamaktadır. Andreas Antonopoulos, güvenliği kullanılabilirlikle dengeleme ilkelerini adım adım açıklıyor, şifre yöneticilerinin neden gerekli olduğunu anlatıyor, XKCD parola konseptini tanıtıyor ve iki faktörlü kimlik doğrulama yöntemlerinin hiyerarşisini detaylandırıyor.

Bu transkript, aantonop tarafından yayınlanan orijinal video transkriptinin (opens in a new tab) erişilebilir bir kopyasıdır. Okunabilirliği artırmak amacıyla üzerinde ufak düzenlemeler yapılmıştır.

Güvenlik temelleri ve riski dengelemek (3:05)

(bip sesi) - Herkese merhaba ve bu cumartesi canlı yayınına hoş geldiniz. Şifreler, şifre yöneticileri, kimlik doğrulama, çok faktörlü kimlik doğrulama ve hesaplarınızın güvenliğiyle ilgili her şeyin konu edildiği bu bonus canlı yayın. Şu anda sırada bekleyen pek çok sorumuz var, ancak bu yayında öncelikli olarak sorular üzerinden ilerlemeyeceğim, çünkü bazı zor konuları açıklamak istiyorum. Ve bir konu hakkında normalden biraz daha uzun veya belki biraz daha kısa konuşup bu konular arasında kendi yolumu çizmem daha mantıklı olabilir. Bunlar biraz çetrefilli konular. Güvenlik çetrefilli bir konudur. Bu yüzden sadece mükemmel soruyu bulmaya çalışmak yerine, bunu yapmayabilirim. Öte yandan, başlamamızı sağlayacak bazı harika sorularım var. Öncelikle katıldığınız için hepinize teşekkür ederim. Benim için bir zevk

her zaman olduğu gibi cumartesi sabahlarımı Bitcoin ve açık blokzincirleriyle ilgili yeni ve ilginç konular üzerinde sizinle çalışarak geçirmek. Peki, şifreler ve çok faktörlü kimlik doğrulamanın Bitcoin ve açık blokzincirleriyle ne ilgisi var? Biliyorsunuz, kripto paralarınızın güvenliğini sağlamak için tüm hesaplarınızın güvenliğini sağlamalısınız. Kripto paralarla ilgili çok ilginç olan bir şey, birçok insanın çevrimiçi kimliklerinin ve çevrimiçi cihazlarının güvenliği hakkında ilk kez bu kadar dikkatli düşünmek zorunda kalmasıdır. Çünkü artık orada duran bir para var ve bu da onu çok daha cazip bir hedef haline getiriyor. Geçmişte insanlar kendi güvenliklerini koruma konusunda pek motive değillerdi çünkü gizliliğinizi kaybettiğinizde, bilgileriniz hacklendiğinde bunu hemen hissetmezsiniz. Ve bunun pek çok kötü sonucu vardır, ancak bu sonuçlar doğrudan

görünür değildir ve hemen hissedilmez. Eğer birisi gelip dijital cihazlarınızdan birkaç yüz dolar veya birkaç bin dolar ya da daha kötüsü on binlerce dolar çalarsa, bunu hissedersiniz ve anında hissedersiniz. Ve bunu somut olarak, daha doğrusu soyut olarak ilişkilendirebilirsiniz. Bunu soyut olarak ama çok, çok belirgin bir şekilde güvenliğinizle ilişkilendirebilirsiniz. Yani bu, ne yazık ki sadece acı verici bir deneyimle gerçekten öğrenilebilen derslerden biridir. Bu yüzden yeni başlayanlara hesaplarını nasıl ve neden güvence altına almaları gerektiğini anlatmak için çok zaman harcayabilirim. Ta ki cihazlarından birine bir kripto para sıcak cüzdanı kurup, ardından o sıcak cüzdandaki parayı kaybedene kadar. Bahsettiğim şeyi anlamak veya bununla motive olmak çok zordur. Şimdi, tüm bu konuşmada anlaşılması gerçekten önemli olan diğer bir şey de güvenliğin

bir denge olduğudur. Her şey dengeyle ilgilidir. Bu bir risk yönetimidir. %100 güvenlik diye bir şey yoktur. Kusursuz güvenlik diye bir şey yoktur. Ve tüm tehditlere karşı koruma sağlayamazsınız. Hangi tehditlerle karşı karşıya olduğunuzu bulmalısınız. Gerçekte neyi koruduğunuza bağlı olarak, bu tehditlerin ne kadarına karşı gerçekten koruma sağlayabileceğinizi ve bu tehditlere karşı korunmak için ne kadar çaba harcayacağınızı bulmalısınız. Ayrıca, oluşturduğunuz çözümün, kullandığınız sistemlerin ne zaman kendi başına bir güvenlik riski oluşturacak kadar karmaşık hale geldiğini de fark etmelisiniz. Ve genellikle yeni başlayanların, özellikle de kripto para alanında, çok fazla karmaşık çözümler ürettiğini görüyoruz. Ve sonra güvenlik dayanıklılığı dengesinin yanlış tarafında kalıyoruz. Kripto paranızı güvence altına alma mekanizmasının o kadar karmaşık olduğu bir durumda, aslında

standart olmayan bir şey kullandığınız için, bir şifreyi unuttuğunuz için, tam olarak ne yaptığınızı kimse bilmediği ve onlara yardım etmek için müsait olmadığınız için onu kaybedersiniz. Yani güvenlik yüzde yüz sağlanamaz ve her şey dengeyle ilgilidir. Ve basitlik genellikle güvenliğin kilit bir unsurudur. Teknik becerileriniz dahilinde uygulayabileceğiniz ve tutarlı bir şekilde uygulayabileceğiniz basit güvenlik çözümleri. Ve sorun yaşarsanız kurtarabileceğiniz çözümler, sizi beceri seviyenizi aşmaya zorlayan, sizi bilinmeyen sulara iten ve hata yapma olasılığınızı artıran karmaşık güvenlik çözümlerinden daha iyidir. Bu genellikle hakkında çok fazla kötü tavsiye duyduğunuz bir şeydir. İnsanlar size çok ama çok karmaşık görünen bir güvenlik şeması uygulamanızı tavsiye edecektir. Ve çok karmaşık olduğu için güvenli hissettirir. Sanki orada bir

Güvenliği basit tutmak (8:40)

çok şey oluyor, bu yüzden çok karmaşık ve ciddi olmalı. Ve çoğu durumda, teknik kapasitenizi aşacak ve aslında hırsızlık nedeniyle değil, beceri seviyenizin dışında işlem yaptığınız için yaptığınız bir hata yüzünden para kaybedeceksiniz. Bu yüzden bunu basit tutalım. Standartlara dayalı tutalım. En iyi uygulamaları, yaygın araçları kullanalım ve bunları tutarlı bir şekilde kullanalım. Böylece çok güvenli olabiliriz. Doğrudan, doğrudan ilk soruya geçeceğiz. Şu ana kadar yayında 220 kişi var. Video ve ses hakkında bana geri bildirim verdiğiniz için teşekkür ederim. Bunu bilmek her zaman iyidir. Bilginiz olsun, bugün erken saatlerde bulunduğumuz yerde ufak bir elektrik kesintisi yaşadık ve eğer elektrik kesilirse, yayın duracağı için bunu anlayacaksınız. Ve internet yönlendiricisinin ve wifi'ın

yeniden başlaması en az beş dakika sürüyor. Geri dönebilirim, ancak sadece bir saniyelik bir güç kaybı olsa bile, geri dönebilmek için beş dakika beklemem gerekecek. Eğer geri dönemezsem, sohbette size haber vereceğiz. Bu yüzden lütfen sabırlı olun ve umarım kesintiye uğramayız. Ancak biliyorsunuz ki bu bugün yönetmemiz gereken risklerden biri. Günün ilk sorusuna geçelim. İlk soru anonim birinden geliyor ve sorunuzu sormak için anonim kelimesini seçmek ilk ve iyi bir güvenlik mekanizmasıdır. Disleksiksem ve uzun şifreleri hatırlamakta iyi değilsem, birçok benzersiz, güçlü şifreyi yönetmenin en iyi yolu nedir? Bu harika bir soru. Harika bir soru çünkü daha geniş bir soruna, yani bir şeyleri hatırlamanın zorluğuna değiniyor. Ve hepimiz aslında yapabildiğimizden

daha iyi hatırlayabildiğimizi düşünüyoruz. Ve bazılarımız hafıza, okuma, yazma veya şifreleri ezberlememize yardımcı olan diğer becerilerde zorluk çekiyor. Ve belki de çok iyi hatırlayamadıklarını biliyorlar. Yani anonim bunu disleksiden muzdarip birinin bakış açısından soruyor, ancak bu herkes için eşit derecede geçerli. İnsana özgü yanılabilir bir hafızası olan herkes için. İnsanlar, özellikle resimlere, deneyimlere veya duygulara bağlı olmadıkları için akılda kalıcı olmayan şeyleri uzun süre hatırlamakta gerçekten kötüdürler. Hayatımızla hiçbir bağlantısı olmayan şeyleri hatırlamak neredeyse imkansızdır çünkü beynimiz alakalı olmayan bilgileri eleyerek optimize etme konusunda çok iyidir. Hatırlamaya çalıştığınız şeyle bağlantılı bir duygunuz, bir deneyiminiz, bir imgeniz yoksa, beyin bunun artık önbelleğe alma algoritmamla alakalı olmadığını söyleyecek ve onu silecektir. Ve birçok

insan tam da bu yüzden şifrelerini unutuyor. Bu yüzden, bu soruyu daha geniş bir şekilde yanıtlamak ve insanların şifrelerin temel ilkeleri hakkında bir temel oluşturmasına yardımcı olmak için burada birkaç kaynak kullanacağım. Bunun için bazı görsel yardımcılar kullanacağım. Genelde görsel yardımcılar kullanmam ama bu özel durumda faydalı olacaklarını düşünüyorum. Bakalım nasıl olacak. Pekala, konuşacağımız ilk şey şifre yönetim sistemleri. Onlarca yıldır, kullanıcıları içinde çok çeşitli karakterler barındıran uzun, rastgele alfanümerik şifreler oluşturmaları için eğitiyoruz. Bunlar insanların hatırlayamayacağı şifrelerdir. Bunlar aslında kötü davranışları teşvik eden şifrelerdir. Aynı sinsi kalıbı kullandığınız davranışları teşvik ederler; O'ların sıfırlarla değiştirildiği, ikinci kelimenin ilk harfinin büyük yazıldığı ve T'nin

yedi ile değiştirildiği ve sonunda diyez işaretinin olduğu Satoshi Nakamoto gibi. Ve artık sayılarınız, küçük harfleriniz, büyük harfleriniz ve harfleriniz var. Ancak bunu birden fazla sitede kullanmanız gerekiyorsa, küçük bir değişiklik yaparsınız. Sonra belki sonuna bir sayı eklemeniz gerekir. Ve sonra, sitelerin sizi varyasyon yaratmaya zorlaması, ancak varyasyonun, özellikle bu karmaşıklıktaki şifrelerle, aslında hatırlamanızı imkansız hale getirmesi gibi gerçekten zor bir hafıza sorunuyla karşılaşırsınız. Böylece şifrenizi birçok sitede yeniden kullanmak zorunda kalırsınız. Neredeyse herkesin yaptığı şey budur. Ve bu güvenlik için çok ama çok kötüdür. Şimdi, bu sorunun nasıl çözüleceğini anlamak için en iyi kaynaklardan biri aslında bir karikatürdür. Bu yüzden yapacağım şey size iki tavsiye vermek. Birincisi, kendi şifrelerinizi oluşturmaya çalışmayın,

Şifre yöneticileri (13:50)

bir şifre yöneticisi kullanın. Şifre yöneticisi, sizin için rastgele şifreler oluşturan ve bunları sizin yerinize hatırlayan bir yazılımdır. Bu sistemler iki sorunu çözer: İnsan hafızası yanılabilir ve insanın rastgelelik becerisi daha da kötüdür. Rastgele şeyler üretme konusunda çok kötüyüz. Hatırlama konusunda çok kötüyüz ve rastgele şeyleri hatırlama konusunda iki kat daha kötüyüz. Yani bu sorunu daha disiplinli, daha zeki veya daha dikkatli olarak çözemezsiniz. Ekranınıza post-it yapıştırarak ve, bilirsiniz, burada gördüğünüz tüm o şeyleri yaparak bunu çözemezsiniz, değil mi? Ki bunları ofislerde her zaman görürsünüz. Bir şifreyi bir yere yazmak kötü bir fikir değildir. Eğer yazdığınız yer gerçekten güvenliyse. Yani şifre yöneticisinin en temel biçimi küçük bir defterdir, bir şifre defteridir. Ve, bilirsiniz, bunun pek modern olmadığını söylesem de, bu

teknolojik olarak pek gelişmiş değildir ve rastgele şifreler oluşturma sorununu çözmez. Dürüst olmak gerekirse bu, annemle babamın kullandığı çözümdür. Çünkü eğer bir yere yazarlarsa, şifrelerinde daha fazla çeşitlilik sağlayabilirler. Ve eğer o küçük defteri güvenli bir yerde, örneğin evde, kilitli bir çekmecede veya benzeri bir yerde tutarlarsa, bu oldukça dayanıklı bir mekanizmadır. Şimdi, çoğunuz muhtemelen annemle babamdan teknik olarak daha bilgilisinizdir. O yüzden sizin için daha iyi bir çözümden bahsedelim. Daha iyi bir çözüm, bunu sizin yerinize yapacak bir yazılım indirmektir. Çok çeşitli şifre yöneticileri var. Ve harika haber şu ki, temel işlevler için bunlar ücretsizdir. Last password veya LastPass, One password, Bitwarden ve diğer pek çok çeşit, KeePass, vesaire vesaire gibi bir ürün kullanabilirsiniz. Şimdi, bunlar

bir dizi farklı özelliğe sahip olacak ve aslında hangi özelliklere ihtiyacınız olduğunu bulmanız gerekecek. Benim tavsiyem, bunu ne tür cihazlarda kullanmanız gerektiğini belirleyerek başlamanızdır, çünkü bir şifre yöneticisi kullanmanın en büyük avantajlarından biri aslında tüm şifrelerinizin tüm cihazlarınızda eşzamanlanmış olmasıdır. Yani Windows, Android ve iOS kullanıyorsanız, eh, bu muhtemelen kolaydır. Tüm şifre yöneticileri bu platformların hepsini destekleyecektir ve bir sorun yaşamayacaksınız. Ayrıca kullandığınız tarayıcılarda da desteklenmesini istersiniz. Yani Chrome, Firefox, Edge, Opera, Brave veya uzantı olarak her ne kullanıyorsanız, böylece web formlarına şifreleri otomatik olarak doldurabilir ve gönderebilirsiniz. Sanırım hepiniz video kameramın az önce hafıza kartının dolduğunu gördünüz. Tam da yayının ortasında, bu

çok yardımcı oldu. Evet, SD kartım az önce doldu, bu yüzden artık kameraya kayıt yapmıyorum. Oops. Her neyse, boşverin. Devam edelim. Yani bir şifre yöneticisi seçerken izlemeniz gereken yollardan biri, hangi cihazları desteklemeniz gerektiğini bulmaktır. Ve eğer bazı tuhaf cihazlarınız varsa bu biraz daha zorlaşır. Örneğin, ben masaüstünde Linux kullanıyorum. Çok uzun zamandır masaüstünde Linux kullanıyorum. Ve, bilirsiniz, bence bu yıl gerçekten masaüstünde Linux'un yılı. Bu olacak millet. Hayır, olmayacak. Ama her halükarda, ben kullanıyorum, benim işime yarıyor, ancak geniş çapta desteklenmiyor. Bu yüzden tüm şifre yöneticileri Linux masaüstlerinde çalışmaz veya iyi çalışmaz. Neyse ki, çoğu şifre yöneticisi tarayıcıda bir tarayıcı uzantısı olarak çalışır, bu da onları çoğunlukla platformlar arası yapar. Yani benim için, bir

Cihazlar arası bir şifre yöneticisi seçmek (18:22)

Şifre yöneticisinin Android, Windows, Linux, Chrome, Firefox, iOS vb. üzerinde çalışması gerekir. Böylece onu tüm cihazlarıma yükleyebilir ve dolayısıyla tüm cihazlarımdaki tüm şifrelerime erişebilirim. Pekala. Anonim bir kullanıcının sorduğu soruya cevap vermek gerekirse, disleksiksem ve uzun şifreleri hatırlamakta iyi değilsem, birçok benzersiz, güçlü şifreyi yönetmenin en iyi yolu nedir? En iyi yol, sizin için rastgele benzersiz, güçlü şifreler oluşturan bir şifre yöneticisi kullanmaktır. Ve bir şifre yöneticisi seçtikten sonra, bir şifre belirlersiniz ve bu tek şifre sizin şifre yöneticisi şifreniz olur. Ayrıca, birisinin sadece o tek şifreyi kullanarak giriş yapıp şifre dosyanızı indirememesi için iki faktörlü bir kimlik doğrulama mekanizması kullanmanızı öneririm. İkinci bir kimlik doğrulama faktörüne ihtiyacınız var. Bunu

bugün bu videonun ikinci bölümünde konuşacağız. Ayrıca izleyicilerden gelen bir takip sorumuz var: Bu yazılıma nasıl güvenirim? Bunun basit cevabı, yaygın olarak kullanılan, güvenlik uzmanları tarafından incelenen ve denetlenen veya açık kaynaklı olan ya da bunların hepsini barındıran bir yazılım arıyor olmanızdır. Ve sanırım daha önce bahsettiklerimin hepsi bu gereksinimleri karşılıyor. Şimdi daha önce bahsettiğim şeye geri dönelim; güvenliğin yüzde yüz olmadığını ve güvenliğin bir risk dengeleme ve azaltma meselesi olduğunu söylediğimi hatırlayın. Şimdi bu iki riski masaya yatıralım. Birinci risk, şifre yöneticisine güvenebilir miyim? Peki ya indirdiğim şifre yöneticisi ele geçirilmişse veya ele geçirilebilir durumdaysa ya da milyonlarca diğer kullanıcı ve güvenlik uzmanı tarafından

incelenirken fark edilmeyen bir hatası varsa ne olur? İkinci risk, beynime güvenebilir miyim? Eğer bu şekilde ifade ederseniz, buradaki sorunun herhangi bir şifre yöneticisinin hiç şifre yöneticisi olmamasından daha iyi olduğu açıkça ortaya çıkar. Bu, kripto parada bir yazılım Cüzdanına karşı bir donanım cüzdanı hakkında konuştuğumuzda yaptığımız türden bir risk yönetiminin aynısıdır. Donanım cüzdanı üreticisine güvenebilir miyim? Yani, bir yere kadar, yüzde yüz değil. Orada bazı riskler var. Bu riskler bir donanım cüzdanına sahip olmamakla nasıl karşılaştırılır? Ve yine cevap, herhangi bir donanım cüzdanının hiç donanım cüzdanı olmamasından daha iyi olduğudur. Peki gerçekten yönetebileceğiniz riskler nelerdir? Bu şifre yöneticisini edinirken doğru yazılıma sahip olduğunuzdan emin olmanız önemlidir. Zaten ücretsiz olan bir şeyi, bir Groupon kuponuyla rastgele bir web sitesinden öylece indirmemeniz ve

ardından sisteminize bir Truva atı bulaştırmamanız gerekir. Ancak asıl konuya dönecek olursak, herhangi bir şifre yöneticisi hiç şifre yöneticisi olmamasından daha iyidir. Bu yüzden benzersiz şifreler oluşturmaya çalışmamalısınız. Eğer bir web sitesi sizden sekiz veya daha fazla karakterli alfanümerik bir şifre isterse, benim yaptığımı yapın. Güvenli şifre oluştur diyen küçük düğmeye tıklayın. Uzunluğu 31 karakter, 75 karakter, 213 karakter olarak ayarlayın. Çok uzun diye bağırmaya başlamadan önce ne kadar uzun yapabileceğimi görmek için web siteleriyle oynamayı seviyorum. Bunca yıldır şifre yöneticilerinin ve sistemlerin bana yeterince uzun değil diye bağırmasından sonra. Yeterince karmaşık değil. Web sitelerinin çok uzun diye bağırmaya başladığını görmek istiyorum. Bu çok karmaşık. Hadi ama dostum, ne yapıyorsun? Veritabanım bunu sığdıramaz. Bu yüzden güçlü ve rastgele bir şifre oluşturun. Peki, bu şifreyi hatırlayabilir miyim?

Elbette hayır. Şifre yöneticilerimde 800 şifrem var, hepsi 20 karakterden uzun, semboller, büyük harf, küçük harf ve sayılar içeren tamamen rastgele alfanümerik şifreler. Bırakın 800'ünü birden, bunlardan birini bile hatırlamam imkansız ama ana şifremi hatırlıyorum. Pekala, bakalım başka hangi sorularımız var. Ve konuşmak istediğim bir sonraki konu hakkında konuşma fırsatı verecek olan sıradaki sorumuza geçelim. Anonim bir kullanıcı soruyor: Güçlü bir şifre oluşturucu kullandığımda birçok şey için işe yaramıyor, şifreler veya parola ifadeleri için asgari düzeyde geçerli güvenlik standartları var mı? Evet. Web sitelerinin şifreler için gülünç beklentileri var ve bunlar genellikle kötü beklentiler. Örneğin, çelişkili bilgileri teşvik ediyorlar. Size bir örnek vereyim. Sekiz karakterden uzun, semboller ve sayılar içeren alfanümerik olmalı, ancak forma yapıştırmayı devre dışı bıraktık. Ne

Kötü parola politikaları (24:02)

ne yapıyorsunuz? Ne yapıyorsunuz? Neden benden karmaşık bir parola seçmemi istiyorsunuz, ki açıkçası bunun için bir oluşturucu kullanacağım, ve sonra onu yapıştırmama izin vermiyorsunuz. Ya da formun onay kısmına yapıştırmama izin vermiyorsunuz? Çıldırdınız mı? Ne yapıyorsunuz? Bunu yapmayı bırakın. Ya da sekiz ila 12 karakter diyen diğer parolalar. Gerçekten mi? Karmaşık yapmamı istiyorsunuz ama çok da karmaşık olmasın. Yani 13 karakter yapamıyorum, bu hiç mantıklı değil. Ya da sembollerin tuhaf kombinasyonları. Oh evet, sembol kullanabiliriz ama sadece diyez, ünlem ve yıldız işareti. Tek tırnak ve et işaretini kabul etmiyoruz çünkü bu regex'imizin kafasını karıştırır. Bunların hepsi gerçekten ama gerçekten kötü parola politikaları. Ya da her ay parolanızı değiştirin politikaları, ancak önceki ay kullandıklarınızdan hiçbirini tekrar kullanmayın ve onları

bu şekilde tuhaf derecede karmaşık tutun. Bunların hepsi tuhaf parola politikaları ve bunlardan birçoğuyla karşılaşacaksınız. İşin özü, farklı güvenlik ekiplerine, güvenlik politikalarına ve farklı güvenlik farkındalığı seviyelerine sahip farklı şirketlerin web sitelerinden, kullanıcılarının çoğu için işe yarayan iyi bir politika bulmalarını bekleyemezsiniz. Unutmayın, parola yöneticimden rastgele oluşturulmuş 37 karakterlik bir parola girmeye çalışanlardan tutun da bir, iki, üç, dört, beş, altı, yedi, sekiz girmeye çalışanlara kadar uzanan geniş bir kullanıcı yelpazesiyle çalışmaya çalışıyorlar. Ki bu görünüşe göre internetteki en yaygın parola, ya da sanırım internetteki en yaygın ikinci parola olan parola bir, iki, üç, dört. Dolayısıyla tüm bu insanlar için işe yarayan bir politika bulmak, bunu yapacak sitelerle uğraşmak çok ama çok zor. Bu yüzden benim yaptığım şey

sadece denemeye devam etmek. Sevdiğim türden rastgele oluşturulmuş bir parola atıyorum, bilirsiniz, 37 karakter ve tamamen sembollerden oluşan. Ve sonra web sitesi şikayet edip şöyle diyecek: Yıldız işaretlerini pek sevmiyorum, bunu bana neden yapıyorsun? Ben de bazı sembolleri kapatacağım ya da çok uzun olduğunu söyleyecek, bu yüzden daha kısa yapacağım. Ya da aslında en az iki büyük harfe de ihtiyacım var ama bir sayıyla başlayamaz diyecek. Ve ben de, Öf, hadi ama diyorum. İşe yarayan bir şey bulana kadar oynamaya devam edeceğim. Ama ne elde edersem edeyim, iki garantisi olacak. Uzun ve karmaşık olacak ve tamamen rastgele oluşturulmuş olacak; bunu benim için oluşturması veya hatırlaması için insan beynine güvenmeyecek. Ve elimden gelen en yüksek karmaşıklığı kullanıyorum. Pekala, anonim biri

bizim için bir sonraki soruyu soruyor, bu da bu anlatıya devam etmemi sağlıyor. Belki aptalca bir soru ama parola yöneticisi bulutta yer almıyor mu ve bu nedenle bilgisayar korsanları için kolayca bir hedef olamaz mı? Harika bir soru anonim. Bu cihazlar şu şekilde çalışır. Parola veritabanınızın bir yedeği bulutta saklanır. Ancak, bu yedek şifrelenmiştir ve uçtan uca şifrelenmiştir. Yani yerel makinenizde şifrelenir. Buluta şifrelenmiş olarak gönderilir ve yalnızca yerel makinenizde tekrar şifresi çözülür. Şifrelenme ve şifresinin çözülme yolu ana parolanızı kullanmaktır. Ve bu ana parolanın kendisi, esnetici (stretcher) olarak bilinen bir şeyden geçirilir. Ve bir esneticinin yaptığı şey, isterseniz bir parola esnetme algoritması almaktır, aslında bu bir hashleme algoritmasıdır. Yaptığı şey, yazdığınız kelimeleri veya karakterleri ana

parolanız olarak alıp, ardından onu binlerce hashleme turundan geçirmektir. Bu zaman alır ve sonucunda kaba kuvvet (brute force) saldırısı yapılamayacak bir parola ortaya çıkar. Çünkü diyelim ki bir parola yazdım ve onu bir kez şifreledim veya hashledim ve sonra sunucuya gönderdim.

Harika, bu gökkuşağı tablosu (rainbow table) adı verilen zor, oldukça kolay bir saldırıya maruz kalır. Daha sonra olacak olan şey, saldırganın hayal edebileceğiniz en yaygın parolaların tümünü alması, bunları hashlemesi ve bu saldırıya karşı kullanılabilecek hashlenmiş parolalardan oluşan bir veritabanı üretmesidir.

Şimdi, öte yandan, ya da doğru olanı bulana kadar tekrar tekrar farklı parolalar denemeye devam edebilirim. Tipik bir kaba kuvvet saldırısı. Ancak her parola 25.000 kez, 50.000 kez veya yüz bin kez hashlenirse, her seferinde ben

Parola veritabanları nasıl şifrelenir (29:19)

bilgisayarıma yazmam iki ila üç saniye sürüyor. Bu benim için büyük bir sorun değil. Tarayıcıma veya bilgisayarıma ilk giriş yaptığımda parola yöneticilerimi başlatmak için iki ila üç saniye, sadece iki ila üç saniye. Ancak bir parola yazdığınız her seferde iki ila üç saniye eklemek zorunda kalırsanız, bu kaba kuvvet (brute force) yaklaşımını tamamen bozar. Ayrıca, önceden hesaplanmış parola hash'lerinden oluşan bu veritabanını oluşturmayı da imkansız hale getirir, çünkü sadece birkaç bin kombinasyonu denemek bile çok uzun sürer. Ve eğer ana parolanız yeterince karmaşıksa, üretmek için sadece birkaç bin parola kombinasyonundan çok daha fazlası gerekir. Bu nedenle parola veritabanı genellikle oldukça basit, standartlara dayalı bir şifreleme algoritmasıyla şifrelenir. AES256 muhtemelen bunun için kullanılan en yaygın olanıdır, ancak şuna benzer bir

şeydir. Bu, verileri şifrelemek ve şifresini çözmek için tek bir anahtar, bir özel anahtar kullanan simetrik bir şifreleme algoritmasıdır. Şifreleme ve şifre çözme için aynı anahtar kullanılır, bu yüzden buna simetrik şifreleme algoritması denir. Ve bu anahtar, ana parolanızın tekrar tekrar hashlenmesiyle üretilir. Dolayısıyla, ana parolanızı yalnızca yerel cihazda girdiğiniz ve bu cihaza güvenildiği sürece yüksek derecede güvenlik elde edersiniz. Evet, parola veritabanı buluttadır, ancak şifrelenmiştir ve kendi cihazlarınızdan başka hiçbir şeye yazmadığınız ana parolanıza sahip olmadıkları sürece kimse onu açamaz. Elbette burada bazı sorunlar var. Çünkü yerel cihazınızda bir parola klavye kaydedici (keylogger) varsa, ana parolanızı yazarken sizi yakalayabilir. Ancak ilginçtir ki, bu

iki faktörlü kimlik doğrulamanız varsa bir saldırgan için yeterli olmayacaktır ve bir saldırgan için yeterli olmamasının nedeni, ana parolanızı ele geçirebilmeleri, ancak umarım makinenize veya başka bir şeye bağlı olan ikinci faktör kimlik doğrulaması olmadan şifrelenmiş veritabanını buluttan indirememeleridir. Ve o ikinci faktöre sahip değiller, iki faktörlü kimlik doğrulama hakkında birazdan daha fazla konuşacağız. Katmanlar inşa ediyoruz. Burada ne yaptığımızı görüyor musunuz bilmiyorum ama evet, ortaya çıkabilecek sorunların her birine bakıyoruz ve güvenlik katmanları ekliyoruz. Güvenlik, her şeyi durduran tek bir şey değildir. Güvenlik, bir saldırganın yoluna engeller koymaktır. Ve evet, bu engeli aşabilirsiniz, ancak hemen arkasında başka bir engel vardır. Ve sonra o engeli aşarsanız hemen arkasında,

başka bir engel vardır. Ve eğer engelleri yeterince güçlü, aynı zamanda bol miktarda katman katman güvenlik yaparsam ve bir katmanı kırmak için ihtiyaç duyduğunuz becerilerin başka bir katmanı kırmak için ihtiyaç duyduğunuz becerilerden farklı olmasını sağlarsam. Ve bir katmanı kırmak için ihtiyaç duyduğunuz araçların ve bütçelerin diğerinden farklı olduğundan emin olursam. O zaman tüm bu katmanları ben fark etmeden, ben buna bir dur demeden ve başarıyla geçme şansınız veya hatta bunu birçok kurbana karşı büyük ölçekte yapma şansınız çok, çok, çok azalır. Ve bütün mesele de bu. Pekala, burada hızlıca bir yudum kahve içeceğim ve sormak isteyebileceğiniz diğer soruları, evet, diğer soruları ararken sohbetlerde sizinle biraz konuşacağım. Şuraya bir

küçük sayfa koyayım, üzerinde yöneticiler olmadan kurallar (rules without rulers) yazan yeni kupamdan kahvemi içerken bu tür eğitim materyallerini yapmamı mümkün kılan tüm destekçilere teşekkür ederim. Son zamanlardaki daha popüler konuşmalarımdan biri. Yanında küçük turuncu bir Bitcoin ile geliyor. Aman Tanrım bize reklam yapmayı bırak, senin ürünlerini alacağız. Sadece iyi içeriğe devam et. Bir saniye içinde. Ve geri döndük. Tamam bunu şuraya kenara koyabilirim. Güzel görünmesi için çevireceğim. İşte böyle. Pekala. Bu küçük anlatıya olabildiğince özlü bir şekilde devam etmemi sağlayacak bir soru bulmaya çalışarak soruların üzerinden geçiyordum. Şimdi parola cümleleri hakkında konuşalım ve bunun için, Cüzdan parola cümleleri olarak güçlü parolalar kullanma hakkındaki düşüncelerimi soran Bruce'tan biraz yardım alacağım.

Cüzdan parola ifadeleri ve BIP-39 (35:02)

Bruce'un burada bahsettiği şey, BIP-39 anımsatıcı ifadesi (mnemonic phrase) kullananlar için mevcut olan isteğe bağlı parola ifadesidir. Anımsatıcı ifadeler 24 kelimeden oluştuğu için bu aynı zamanda 25. kelime olarak da bilinir. Teorik olarak 25. bir kelime eklersiniz, ancak ben buna 25. kelime demek yerine, aslında neyse o şekilde, yani birden fazla kelimeden oluşabilen isteğe bağlı bir parola ifadesi diyeceğim. İşte bu bir cüzdan parola ifadesidir. Anımsatıcı ifadenize ikinci bir faktör kazandırmak için eklediğiniz, isteğe bağlı ek bir parola ifadesidir. Böylece, örneğin ofisinizde bir kağıda yazılı olan 24 kelimeyi biri çalarsa, bir cüzdan parola ifadesi olduğu için paranızı hemen alamazlar. Şimdi, tek bir paroladan, yani

bir parola yöneticisinde kullanılan ana paroladan bahsettiğimizi hatırlayın. Ve bunun defalarca hash'lendiğini ve bunun kaba kuvvet (brute force) saldırılarını önlediğini söylemiştik. İşte BIP-39 standardındaki isteğe bağlı parola ifadesi ve anımsatıcı ifade ile tamamen aynı şey yapılır. PBKDF2 adı verilen bir parola esnetme algoritması, 2000 tur SHA-512 uygulayarak onu SHA-512 ile esnetmek için kullanılır. Bu biraz bir uzlaşmadır, BIP-39 standardında bir uzlaşmadır çünkü BIP-39 standardı, yani cüzdanlar için anımsatıcı ifade standardı, yaklaşık bu büyüklükte küçük USB cihazları olan ve fazla işlem gücüne sahip olmayan donanım cüzdanı cihazlarında çalışabilmelidir. Bu yüzden aslında 2000 tur SHA-512 çalıştırmak birkaç saniye sürer. İki, üç saniye. Bunun anlamı şudur; ne yazık ki çok iyi bir koruma değildir, yeterlidir ancak kaba kuvvet

saldırısıyla kırılabilir, eğer çok daha güçlü bir bilgisayarınız varsa. Yani örneğin bir GPU veya daha da iyisi, SHA-512 için tasarlanmış bir ASIC veya SHA-512 için bir FPGA cihazı kullanırsanız, 2000 turu saniyenin çok küçük bir bölümünde gerçekleştirebilirsiniz. Ve bu nedenle, aynı tohum (seed) üzerinde saniyede yüzlerce, belki de binlerce parola veya parola ifadesi deneyebilirsiniz. Bu da, bütçenize uygun doğru miktarda donanımla, isteğe bağlı bir parola ifadesine sahip bir BIP-39 anımsatıcısına saldırmanıza olanak tanır. Ancak yine de bu basit bir iş değildir. Yani katmanlardan bahsediyoruz. Öyleyse parola ifadelerinden bahsedelim. Tek bir kelime olmadığını belirtmek için parola (password) yerine parola ifadesi (passphrase) terimini kullanıyoruz. Bu aslında bir ifadedir. Tıpkı bir anımsatıcı ifadenin bir ifade olması gibi. Boşluklarla ayrılmış bir dizi kelimedir. Ve bu, hatırlamayı olduğu kadar

yazmayı ve okumayı da çok daha kolay hale getirir, hatta biraz bozulmuş olsa bile okuyabilmenizi sağlar. Görünüşe göre insanlar örüntü tanıma konusunda gerçekten çok iyiler. Yani kendi el yazınızla, küçük harflerle bir dizi kelime yazarsanız, kelimenin üçte ikisi lekelenmiş olsa bile onu okuyabilir veya oldukça iyi bir tahminde bulunabilirsiniz. Ve eğer kelimelerin sizin için bir anlamı varsa veya bu kelimelerle zihinsel bir imge oluşturabiliyorsanız, bir ifadeyi, büyük ve küçük harfler ile sayılardan oluşan rastgele oluşturulmuş bir paroladan çok daha iyi hatırlayabilirsiniz. Ancak bunu biraz daha iyi açıklamak için Randall Monroe'dan biraz yardım alacağım. Geçmişte Randall Monroe'dan bahsettiğimi duymuş olabilirsiniz. Randall Monroe, şu adlı karikatürü çizen bir grafik sanatçısıdır:

XKCD. Ve XKCD, farklı teknik kavramları, aynı zamanda komik sosyal eleştirileri ve her türlü fantastik fikri gösteren grafiksel bir karikatürdür. Gerçekten çok zekice fikirler, gerçekten çok iyi bir şekilde sunuluyor. Ve bilirsiniz, bu öyle bir durumdur ki, iyi açıklamak istediğiniz hemen her kavram için bir XKCD, bir XKCD çizimi vardır. Bu yüzden birçoğunuzun muhtemelen daha önce duyduğu bir tanesini kullanacağım ve bu "correct horse battery staple" olarak bilinir. Ve eğer bu kulağa anlamsız geliyorsa, bir saniye bekleyin. Pekala, şimdi buradaki ekranımızda ona bir göz atalım. İşte bu, parolalar olarak adlandırılıyor. 20 yıllık bir çaba sonucunda, herkesi insanların hatırlaması zor, ancak bilgisayarların tahmin etmesi kolay parolalar kullanmaları için başarılı bir şekilde eğittik. Ve eğer buraya, yukarıya bakarsanız

XKCD parola konsepti (40:47)

sol üst köşe, bu bir web sitesinde sizden istenen tipik bir şifredir. Yani bu, belirli bir sıradaki büyük küçük harfler, sayılar ve sembollerdir. Burada gördüğünüz şey, kullanıcıların bunları oluşturmak ve hatırlamak için yaptıkları tipik şeydir; bir kelimeyi bozmaya çalışırlar. Yani bu kelime Troubadour. Kahramanların maceraları hakkında şarkılar söyleyen gezgin bir müzisyen. Sanırım Troubadour bu anlama geliyor. Bir Troubadour ve üç. Yani bu durumda rastgele görünen ama aslında rastgele olmayan bir şey görüyorsunuz. Şimdi bu belirli şey bilgisayar temelinde analiz edilebilir. Bunun ne kadar rastgele olduğunu görmek için matematiksel bir perspektiften, bilgi teorisi perspektifinden. Veya bu tür bir şeyin ne kadar rastgelelik içerdiğini. Yani bu özel durumda, yaklaşık 28 bitlik bir entropi elde ediyoruz. Bu şu anlama gelir; bu

karmaşıklık miktarı 28 ikili basamaktan oluşan bir ikili sayıyla, yani 2 üzeri 28 ile ifade edilebilir. Eğer saniyede bin tahmin yapabilseydiniz, kaba kuvvet (brute force) saldırısıyla kırmanız üç gün sürerdi. Yani bu temelde saniyede birden fazla tahmin denediğiniz bir web hizmeti veya benzeri bir şeydir. Eğer bir web sitesinden çaldığınız bir veritabanınız varsa, elbette ortalama bir bilgisayarda saniyede bin tahminden çok daha fazlasını uygulayabilirsiniz. Ancak her halükarda, bilgisayarların bunu tahmin etmesi aslında kolaydır. Ve bilgisayarların tahmin etmesi kolaydır çünkü 28 bitlik entropi yeterli değildir, ancak bilgisayarların bu dizideki büyük ve küçük harflerin tüm olası kombinasyonlarını deneyerek tahmin etmesi ve kaba kuvvet uygulaması kolay olsa da, insanların bunu hatırlaması aslında gerçekten zordur. Ve hemen

aşağıda Randal Monroe bize farklı bir yaklaşım gösteriyor; bu da boşluklarla ayrılmış düz İngilizce kelimeler kullanmaktır. Bu bir şifre değil, anımsatıcı bir paroladır. Ve bu durumda, rastgele sadece dört kelime seçmek, sadece dört. Rastgele dört kelime aslında, yüz bin kelime içeren büyük bir sözlükten, belki de bir İngilizce sözlükten olduğunu varsayarsanız, O zaman yaklaşık 44 bitlik bir entropi elde edersiniz. 44 bitlik entropi, saniyede bin tahminle size 550 yıl verir. Ve saniyede 10.000 tahminle 55 yıl. Saniyede 100.000 tahminle beş yıl. Bunu kaba kuvvetle kırmak aslında zordur ve sadece dört kelimedir. Ancak en önemlisi, insanların hatırlaması kolaydır. İşte bu yüzden bit 39'da anımsatıcı ifadeler kullanıyoruz. Yani "correct horse battery staple" (doğru at pil zımba) hakkında düşünürseniz, bunlar rastgele olsalar bile bunu yaratabilirsiniz

kelimeler, size çağrışım için bir temel sağlayan bu tuhaf zihinsel imgeyi yaratabilirsiniz. Ve çağrışım, insanlarda hafızanın çalışma şeklidir. Yani burada yapılan bu küçük çizim var. Bu bir pil zımbası, doğru. Yani bu, bunun bir pil zımbası olduğunu söyleyen bir at ve birinin doğru, bu bir pil zımbası, doğru at pil zımbası (correct horse battery staple) demesi. Ve bu dört kelimeyi bir bilgisayar kurduna (geek) söylerseniz, neden bahsettiğinizi hemen anlayacaklardır çünkü bu ifadeyi hatırlamak o kadar kolaydır ki, internetteki milyonlarca insan bu tek karikatürden ve örnekten onu başarıyla ezberlemiştir. Yani muazzam şeylerle, Xkcd.org, gidip bu karikatür serisini görebileceğiniz yerdir. Harika bir iş. XKCD. Ama sanırım bu, konuyu anlamanıza yardımcı oluyor. Yani bu bir paroladır ve bu, bir şey üretmenin çok daha iyi bir yoludur

Cüzdanlar ve şifreleme için parola cümleleri kullanma (45:27)

parola yöneticiniz için ana parola ve cüzdanınız için isteğe bağlı bir parola cümlesi. Yani bununla cüzdanlarınız için isteğe bağlı bir parola cümlesi oluşturabilirsiniz. Bunu bir GPU veya FPGA ile bile kaba kuvvet (brute force) saldırısıyla kırmak gerçekten zordur. 2000 tur SHA-512 yapabilseniz bile, birinin sadece dört veya beş kelimelik bir şeyi kaba kuvvetle kırması aylar hatta yıllar alacaktır. Eğer altı kelimeye çıkarsanız, gerçekten çok güçlü bir mekanizmaya sahip olursunuz. Şimdi, sadece bunu kullanmazsınız. Diyelim ki bir BIP-39 anımsatıcı (mnemonic) ifadeniz var ve isteğe bağlı bir parola cümlesi eklemek istiyorsunuz ve 'tamam, bir sözlükten rastgele dört kelime seçeceğim' diyorsunuz. Ve bu benim isteğe bağlı parola cümlem olacak, bu dört kelimeyi ezberleyip aklımda tutabilirim. Ayrıca bunları

ikincil bir konuma yedekleyeceğim, çünkü onları hatırlayabilsem de ya bana bir şey olursa. Kullandığım isteğe bağlı parola cümlesini kimse bulamadığı için mirasımın yok olup gitmesini ister miyim? Hayır, elbette istemem. Bu yüzden parola cümlesini de yedeklemem gerekecek, anımsatıcı ifadeyi, yani tohumu (seed) yedekleyeceğim. Ayrıca isteğe bağlı parola cümlesini de yedekleyeceğim ve bunları iki farklı konumda tutacağım. Ayrıca, eğer biri tohumuma göz atarsa, bunu yaptığını anlayabileceğim bir sistem kuracağım; böylece güçlü bir bilgisayar kullanarak parola cümlesinin tüm olası kombinasyonlarını denemeden önce paramı taşımam gerektiğini bileceğim. Bunu yapma yöntemim çok ama çok düşük teknolojili. Bu plastik bir poşet, kurcalandığı belli olan (tamper-evident) plastik bir poşet. Bunları her yerdeki çevrimiçi perakendecilerden

yüzlü paketler halinde satın alabilirsiniz. Tombala oyunları, kiliseler ve benzeri yerlerdeki nakit bağışlar için kullanılırlar. Çalışanların hırsızlık yapmasını önlemek için kullanılırlar. Opaktırlar ve bir kez mühürlediğinizde, belli etmeden açmanın tek yolu onları yırtmak veya kesmektir, yani bir iz bırakırsınız. İz bırakmadan donduramaz, ısıtamaz veya açıp yeniden mühürleyemezsiniz. Dolayısıyla, anımsatıcı ifadenizi ve isteğe bağlı parola cümlenizi böyle kurcalandığı belli olan bir poşete koyarsanız ve biri göz atarsa, göz attığını anlarsınız. Yani depolama konumlarınızı birkaç ayda bir denetlerseniz, güvenlik için iyi bir temel oluşturmuş olursunuz. Pekala, toparlıyorum. Yaklaşık 45 dakika daha devam edeceğiz, çünkü hakkında konuşacak daha çok şeyim var, iki faktörlü

kimlik doğrulama. Ancak bu parola cümlesi konseptini nasıl uyguladığımızı anlamanızı istedim. Bu yüzden, bir sonraki bölümde güvenli bir şekilde nasıl parola cümlesi oluşturulacağından bahsedeceğim. Hadi bir emoji fırtınası başlatalım ve lütfen YouTube'daki tüm topluluk üyelerini, kanalımdaki özel emojilerin inanılmaz yaratıcı ve ifade edici gücünü herkese göstermek için bir emoji fırtınası yapmaya davet ediyorum, başla. Pekala, geri döndüm. Yani bir parola cümlesi oluşturmak istiyorsunuz. Ve bu parola cümlesinin muhtemelen XKCD parola cümlesi olarak bildiğimiz formatta, yani 'correct horse battery staple' şeklinde olmasının en iyisi olduğunu biliyorsunuz. Rastgele seçilmiş, zihinsel bir ilişki, onlarla uyumlu bir görüntü oluşturabileceğiniz bir dizi İngilizce kelime. Bu parola cümlesini, belki de yazmanız gerekecek olan parola yöneticinizin ana parolası için kullanacaksınız

Parola cümlelerini güvenli bir şekilde oluşturma (50:25)

farklı cihazlarda günde birçok kez. Başka amaçlar için benzer parola cümleleri kullanıyorum ve aynı parola cümlesini tekrar etmiyorum. Ancak işler karmaşıklaşmadan önce bunlardan üç veya dördünü hatırlayabildiğimi fark ettim. Bu yüzden, bit 39 cüzdanım için isteğe bağlı parola cümlesi olarak böyle bir parola cümlesine ihtiyacım olacak. Dizüstü bilgisayarımdaki sabit disk şifrelemesi için de böyle bir parola cümlesine ihtiyacım olacak. Şifrelenmiş bir sabit disk kullanmayı tercih ediyorum. Ve dizüstü bilgisayarımı veya herhangi bir cihazımı başlatmadan önce, gerçekten bir parola cümlesi girmeniz gerekiyor. Ve bu parola cümlesi de bu formattadır. Bu anımsatıcı (mnemonic) bir parola cümlesidir. Boşluklarla ayrılmış bir dizi İngilizce kelime kullanır. Tutarlılık amacıyla, anımsatıcı parola cümlelerimi her zaman aralarında basit boşluklar olacak şekilde tamamen küçük harflerle yazarım. Yani küçük harfli kelime, boşluk, küçük harfli kelime, boşluk, küçük harfli kelime ve enter. Ve bunlar

dört ila sekiz kelime uzunluğunda olabilir. Hangi düzeyde güvenliğe ihtiyacınız olduğuna karar vermelisiniz ve bu, onu nerede kullandığınıza bağlıdır. Bu parola cümlesinden türetilen şifreleme anahtarının oluşturulmasında kaç tur hashleme kullanıldığına ve bu şeyler için karşı karşıya olduğunuz tehdit seviyesinin ne olduğuna bağlıdır. Ancak bir şeyleri unutmaya ve kafanızın karışmasına başlamadan önce kullanacağınız minimum kelime sayısı muhtemelen dört, maksimum miktar ise sekiz olmalıdır. Özellikle çok sık kullanmadığınız bir parola cümlesi için. Bir parola cümlesini ne kadar sık kullanırsanız, ne kadar sık yazarsanız, onu o kadar uzun yapabilirsiniz. Çünkü o zaman pratik yaparak onu hatırlamak zorunda kalacaksınız. Bu yüzden parola yöneticimde biraz daha uzun bir parola cümlesi kullanabilirim çünkü onu her gün yazıyorum. Biraz daha kısa bir parola cümlesi kullanacağım,

örneğin, bir cüzdanda isteğe bağlı bir parola cümlesi olarak ve cihazlarımda, sabit diskim için şifrelenmiş başlatmada isteğe bağlı bir parola cümlesi olarak daha da kısa bir parola cümlesi kullanacağım, çünkü bunu ayda sadece bir kez yazıyorum ve unutmam daha kolay olabilir. Peki bu kelimeleri nasıl seçeceğiz? Bunu yapmanın birkaç yolu var, ancak bunların rastgele olmasını istersiniz. Bir şarkı olmasını istemezsiniz. Sözleri, bilmiyorum. Bir şarkı söylemek üzereydim ama sanırım bu çok fazla tartışma yaratırdı. Bu yüzden bunu tamamen atlayacağım. Futbol takımınızın tezahüratı olmasını istemezsiniz. Eyaletinizin sloganı olmasını istemezsiniz. Star Trek'ten bir replik olmasını istemezsiniz. Neden? Çünkü tüm bu ifadeler,

bilgisayar korsanlarının topladığı sözlüklerde bulunur. Google'a bir ifade olarak yazdığınızda sonuç alabileceğiniz herhangi bir şeyi asla kullanmamalısınız; ki elbette bunu Google'a yazmayacaksınız çünkü bu güvenliği bozar. Daha önce söylenmiş veya birisi tarafından söylenme ihtimali olan bir ifadeyi asla kullanmamalısınız. Bunun yerine rastgele kelimeler seçmeli ve ardından sizin için anlamlı olan zihinsel bir imge veya çağrışım yaratmaya çalışmalısınız. Sizin için anlamlı olduğu, bu imgeyi kafanızda tekrarlayabildiğiniz ve biraz pratik yapabildiğiniz sürece çok tuhaf ve garip olabilir. Bu, bunu yapmanın iyi bir yoludur. Peki rastgele kelimeleri nasıl seçersiniz? Bunu yapmanın birkaç yolu var. Bir sözlüğü farklı sayfalardan açıp bakmadan parmağınızı basabilirsiniz, ancak bu pek

iyi değildir. Muhtemelen zamanınızın çoğunu sayfaların ve sözlüğün orta üçte birlik kısmını ve parmağınızla sayfanın orta üçte birlik kısmını seçerek geçireceksiniz. Ancak bu aslında yeterince iyidir çünkü sözlükte çok fazla kelime vardır. Güzel, büyük, kalın bir sözlük. Böylece yeterli rastgelelik elde edeceksiniz. Yani bu, evde hiçbir ekstra çaba harcamadan yapabileceğiniz kolay bir yoldur. Biraz daha ileri gitmek isterseniz, diceware adı verilen bir teknik kullanabilirsiniz. D-I-C-E-W-A-R-E. Ve diceware, indirebileceğiniz bir kelime listesine sahip olduğunuz bir mekanizmadır. Diceware endeks listesini indirebilirsiniz, bulacağınız web sitesi... Bunu Google'da oldukça kolay bir şekilde bulabilirsiniz. Karşınıza çıkan ilk site, yani diceware.D-M-U-T-H dmuth.org doğru olanıdır. Ve bu web sitesini kullanırsanız, listeyi indirebilirsiniz. Şimdi ne

Diceware yöntemi (55:27)

Bu listenin ilginç yanı, bir ile altı arasında rakamlara sahip sayılarla endekslenmiş olmasıdır, bu da daha sonra zar, bildiğimiz zar, normal zar kullanmanıza olanak tanır. Zarı beş kez atarsınız ve tüm rakamları bir ile altı arasında olan beş haneli bir sayı oluşturursunuz, ardından diceware listesinde o endekse karşılık gelen kelimeyi bulup yazarsınız ve böylece rastgelelik elde etmiş olursunuz. Normal zarlarla kullanılmak üzere tasarlanmış bir rastgelelik elde edersiniz, ki bu da oldukça kullanışlıdır. Etrafta birkaç zarınız varsa, bunu kolayca yapabilirsiniz. Dijital değildir, listeyi kendi bilgisayarınıza indirirsiniz ve o listeden rastgele kelimeler seçersiniz. Yine, bu rastgele parola ifadelerinden birini oluşturmanın harika bir yoludur. Ve elbette, bilgisayarınızda bir program da kullanabilirsiniz. Buradaki sorun elbette şudur:

bilgisayarınızda halihazırda bir Truva atı kötü amaçlı yazılımı veya klavye kaydedici varsa, bu biraz zorluk çıkarabilir. Ben XKCD pass adında bir program kullanıyorum, bu program aslında XKCD uyumlu parola ifadeleri üretiyor. Bunlardan bir sürü oluşturuyorum. Ve sonra o çok, çok uzun listeden rastgele birini seçiyorum. Ve bilgisayarımda hangisini seçtiğime dair hiçbir belirti bırakmıyorum. Sadece çok uzun bir listede aşağı kaydırıyorum, kaydırıyorum ve kaydırıyorum. Bu şekilde ele geçirilmesini çok daha zor hale getiriyor. Yine, bu katmanlarla ilgili bir durum. Mükemmel değil. Tüm bu süreçte pek çok zorluk ve açık var. Pekala. Artık şifre güvenliği hakkında konuştuk ve birkaç konuyu bir araya getirdik. Şifrelerin karmaşıklığından bahsettik. Güvenliği katmanlandırmaktan bahsettik. İnsan hafızasının ve insan kaynaklı rastgelelik zayıflıklarından bahsettik. Şu konulardan bahsettik: neden

yazılıma yüzde yüz güvenemeseniz bile yazılım kullanmanın kullanmamaktan daha iyi olduğu. Ana parola ifadenizi nasıl oluşturacağınızdan ve ne tür bir ana parola ifadesi kullanmanız gerektiğinden bahsettik; bunu daha sonra şifre yöneticinizden, hatırlanması imkansız olan karmaşık alfanümerik ve rastgele oturum şifrelerinizi veya site şifrelerinizi oluşturmak ve şifre yöneticinizin bunları hatırlamasını sağlamak için kullanabilirsiniz. Sıradaki konumuz iki faktörlü kimlik doğrulama. Peki, iki faktörlü kimlik doğrulama nedir? İki faktörlü kimlik doğrulama, kendinizi doğrulamak için iki farklı yol kullanmanızdır. Yani kimlik doğrulama temel olarak olduğunuzu iddia ettiğiniz kişi olduğunuzu kanıtlamak anlamına gelir. Ve iki faktörlü kimlik doğrulama, olduğunuzu iddia ettiğiniz kişi olduğunuzu kanıtlamak için iki farklı mekanizma kullanmak demektir. Bilgisayar güvenliğinde, çok faktörlü kimlik doğrulamaları ve kimlik doğrulama faktörlerini üç şeyden biri olarak tanımlarız. Sahip olabileceğiniz

üç olası faktör şunlardır: bildiğiniz bir şey, örneğin bir şifre bildiğiniz bir şeye örnektir. Onu ezberlersiniz, dolayısıyla bilirsiniz. Bilgi tabanlı kimlik doğrulama da bu bildiğiniz bir şey faktörünün bir biçimidir, örneğin nerede doğdunuz? İlk kek mikserinizin markası nedir? Okulda öptüğünüz ilk kişi kimdi? her ne olursa olsun. Şimdi, açıkçası bildiğiniz bir şey bir faktördür ve iyi bir faktördür. Ancak ve ancak, siz onu hatırlayabiliyorsanız ve başka hiç kimse kolayca tahmin edemiyorsa. İşte şifrelerle ilgili konuştuğumuz tüm karmaşıklık burada devreye giriyor. İkinci bir kimlik doğrulama biçimi. Bir kimlik doğrulama faktörü, olduğunuz bir şeydir. Ve olduğunuz bir şey genellikle biyometrik bir veriyi, fiziksel varlığınız hakkında taklit edilemeyen değişmez bir ölçümü ifade eder. Yani bir parmak izi, bir iris taraması, tekrar etmeniz gereken ifadeyi

tekrar ettiğinizdeki sesiniz. Yürüyüşünüz, boyunuz, yüz tanıma için yüzünüz, tüm bunlar biyometrik faktörlerdir. Yani olduğunuz bir şey. Biyometrik faktörlerin avantajları ve dezavantajları vardır. Başka bir faktöre ek olarak kullanılabilirler. Elbette, bir biyometrik verinin en büyük dezavantajı, kopyalanması veya kaybedilmesi durumunda değiştirilememesidir. Örneğin, parmak izlerim sızdırılırsa ve herkes parmak izlerime erişip tüm o casus filmlerinde gördüğünüz gibi lateks ile onları yeniden oluşturabilirse, o zaman parmak izlerimi değiştiremem. Ve bu nedenle bu biyometrik veri artık benim için yararlı olmaz. Ve biyometriklerin uygulanmasının oldukça zor olduğunu gördük, ancak ikinci bir faktör olarak çok faydalıdırlar, asla birincil olarak değil. Kendimi doğrulamak için biyometrik bir veriyi asla tek yol olarak kullanmam, diyelim ki

Biyometrik kimlik doğrulama (1:00:44)

telefon. Çünkü gördüğünüz gibi, her sekiz yaşındaki çocuğun bildiği üzere, annesi kanepede uyurken iPhone'unu onun parmağına tutarsanız, gidip Amazon'dan bir şeyler satın alabilirsiniz. Kendi kişisel Noel Babanız olabilirsiniz. Yeter ki annenin başparmağına veya babanın yüzüne erişim sağlayın ve yüz tanıma cihazını babanın yüzünün önünde tutun. Baba, barbekü partisindeki onca işten sonra horul horul uyurken. Biyometrik tek başına yeterli değildir, ancak çok iyi bir ikinci faktör oluşturur. Son faktör, sahip olduğunuz bir şeydir, sahip olduğunuz ve size ait olan bir şey. Ve bu biyometrik faktör genellikle ek bir cihazda yer alır. Bu, elinizde tuttuğunuz bir güvenlik faktörü olan bir cihazdır. Bir anahtar, kimlik doğrulamanın sahip olduğunuz bir faktörüdür. Dijital bir anahtar, bir özel anahtar, hatta fiziksel bir

kapınızı açmak için anahtar. Ve günümüzde giderek artan bir şekilde, sahip olduğunuz bir şeye dayanan ve USB cihazları haline getirilen ikinci faktörlerimiz var. Aslında, dizüstü bilgisayarıma sürekli takılı olan bir tane var. Birçoğunuz muhtemelen daha önce bunlardan bahsettiğimi duymuşsunuzdur. Bu bir YubiKey ve bu YubiKey o kadar küçük bir cihaz ki, dizüstü bilgisayarımın USB bağlantı noktasına taktığımda, dışarı çıkan tek şey dokunmaya duyarlı küçük metalik bir çıkıntı. Bunu kullanmaya çalıştığımda, dokunmamı gerektiriyor. Ve dokunduğumda onu etkinleştiriyorum ve bilgisayarımdan bir kod gönderiyor. Artık bilgisayarımın yan tarafına dokunarak kimlik doğrulaması yapmadan bilgisayarıma ve kullandığım diğer birçok hizmete giriş yapamazsınız. Şimdi, veritabanımı veya ana parolamı çalarsanız veya

şifremi tahmin ederseniz, yine de bu cihazların şifresini çözemez veya açamazsınız ya da çeşitli hesaplarıma erişemezsiniz çünkü bu şeye sahip değilsiniz. Bu şeye ben sahibim. Ve elbette bu ek bir güvenlik faktörüdür. Tek başına yeterli değildir çünkü birisi dizüstü bilgisayarımı çalmayı başarsaydı, artık bu şeye sahip olurlardı, ancak neyse ki diğer faktör olan şifreme sahip değiller. Yani genel olarak, çok faktörlü kimlik doğrulamadan bahsettiğimizde, yaptığımız şey hiçbir kimlik doğrulama faktörünün tek başına yeterli olmadığını kabul etmektir. Tüm kimlik doğrulama faktörlerinin hata modları vardır. Ancak çok faktörlü kimlik doğrulama kullanırsanız ve kimlik doğrulama faktörleriniz çeşitliyse, o zaman bir kimlik doğrulama faktörünün hata modu, diğerini korumanız olarak bırakır. Yani katmanlarınız olur. Bilirsiniz, her casus filminde, kötü adamın parmağını kestiklerinde

ve parmak izi okuyucusuna götürüp kapıyı açmak için kullandıklarında, aslında hiçbir kapı bu şekilde çalışmaz. Hepsi aynı zamanda bir pin kodu gerektirir, tam da bu yüzden pin kodunu çalarsanız parmağa sahip olmazsınız. Ve parmağı çalıp keserseniz, pin kodunu bilemezsiniz. İkisi de gerekir. Böyle bir cihazın hiçbir üreticisi, onu yalnızca biriyle açabileceğiniz şekilde yapmaz. Ve aslında, insanlar telefonlarını yalnızca biyometrik bir yöntemle açılacak şekilde ayarladıklarında, bu inanılmaz derecede tehlikelidir ve ek bir mekanizmanız olduğundan emin olmanız gerekir. Sohbette harika bir takip sorusu var, ya YubiKey'imi, güvenlik anahtarımı kaybedersem? Aslında bende birkaç tane var. Üç tane var. Ve bir tanesini en son yedeğim olarak tesis dışı bir konumda saklıyorum.

Dizüstü bilgisayarıma takılı tutmadığım ve yanımda taşıdığım ikinci bir tane daha var. Bu genellikle güvenlik görevlilerinin boyunlarında bir kordonla taktıklarını veya bir anahtarlık olarak bağladıklarını göreceğiniz bir şeydir. Bu cihazlar oldukça sağlamdır ve genellikle bir anahtarlığa takılmak üzere tasarlanmışlardır. Böylece onları anahtarlarınızla birlikte alabilirsiniz, ki bu mantıklıdır. Benzer güvenlik modeli, neredeyse yok edilemezler. Üzerlerinden bir kamyonla geçebilirsiniz ve hala çalışırlar. Bu yüzden bu güvenlik anahtarlarının üçünü de kaydettirdim, böylece herhangi biri çalışacaktır ve erişimimi kaybetmeden önce üçünü birden kaybetmem gerekir. Ancak üçü de ulaşılması zor yerlerde. Ve burada ele almaya çalıştığım ana risk, ana tehdit uzaktan ele geçirilmedir. Evet, evime, ofisime zorla girerseniz

Güvenlik anahtarları ve YubiKey'ler (1:05:51)

veya beş numaralı gizli bir yerdesiniz ve otel odama zorla giren kötü niyetli bir hizmetçisiniz ya da her neyse, bu cihazları bulabilirsiniz, ancak o zaman muhtemelen şifreme sahip olmazsınız. Sistemlerimi hackleyip şifremi ele geçirirseniz, cihaza sahip olmazsınız. Şifreyi cihazlarımdan birine giriş yapmak için kullanmaya çalışırsanız, size erişim vermek için bilgisayarın yan tarafına dokunmam. Ve dürüst olmak gerekirse, bilgisayarımı başıboş bıraktığımda YubiKey'i çıkarıp yanıma alıyorum. Yani yine, bu katmanlarla ilgili bir durum. Yani iki faktörlü kimlik doğrulama, herhangi bir hizmete veya cihaza kendinizi doğrulamak için en az iki faktör kullanmak anlamına gelir. Ve bunlar bildiğiniz bir şey, sahip olduğunuz bir şey ve olduğunuz bir şeydir. Bu üçünden herhangi biri ikinci bir faktör olarak kullanılabilir. Ve elbette

isterseniz üç faktörlü kimlik doğrulama kullanabilirsiniz, ancak bu biraz alışılmadık bir durumdur, o noktada hantal ve karmaşık hale gelir. Kurtarması zor, kilitli kalması kolaydır. Bu yüzden iki genellikle sihirli sayıdır ve bu yüzden ona 2FA, iki faktörlü kimlik doğrulama diyoruz. Diğer insanlar buna çoklu faktörlü kimlik doğrulama veya çok faktörlü kimlik doğrulama için MFA derler. Tamamen aynı şeydir. Sektörde kullanılan, size gösterdiğim küçük YubiKey gibi güvenlik anahtarları için evrensel bir format standardı olan başka bir standart daha var. Şimdi bu, Fido Alliance adlı bir standartlar kurumu tarafından oluşturulan bir standarttır ve U2F, evrensel iki faktörlü (universal two factor) olarak adlandırılır. Kodumun slaytında fark ederseniz, bir U2F evrensel iki faktörlü öğrenme var. U, iki rakamı, F harfi, U2F. Bu basitçe, donanım tabanlı çok faktörlü bir cihaz için takılabilen, bağlanabilen veya

kimlik doğrulaması yapmaya çalıştığınız bir cihaza Bluetooth veya NFC üzerinden veri iletebilen bir standarttır. Pekala, şimdi bir soruya geçelim. O değil. Nerede o? Belki şimdi? Tamam, bir saniye. Görünüşe göre soru vurgulanmıyor. Nedeninden emin değilim. Bana bir saniye verin lütfen. Bunu düzelteceğim. Tarayıcımı yenilemem gerekiyor. Umarım benden karmaşık bir şifre istemez. Tamam, görünüşe göre bir tür... oh bekleyin, bir saniye bekleyin. Slido'mda bir şeyler ters gitti, bu yüzden vurgulanan soruları gerçekten göremiyorum. Bunun neden olduğunu bilmiyorum. Bunu daha önce hiç görmemiştim. Oh, bir anket var. Görünüşe göre şu anda soruları görmemi engelleyen aktif bir anket var. Nedenini bilmiyorum. Kusura bakmayın. Oh, işte orada. Kendi kendini düzeltti. Teknik aksaklıklar için özür dilerim arkadaşlar. Neden bir kısa

mesaj zayıf bir iki faktörlü kimlik doğrulamadır, hiç yoktan iyi midir? Yani birçok banka, başka birinin de belirttiği gibi SMS kullanıyor, iki faktörlü kimlik doğrulama olarak SMS kısa mesajlarını kullanıyorlar. Peki neden bir kısa mesaj zayıf bir iki faktörlü kimlik doğrulamadır? Pekala. Peki bir kısa mesaj ne tür bir faktördür? Bakalım bunu çözebilecek miyiz. Bildiğiniz bir şey mi? Hayır, o anda bilmiyorsunuz. Görünüşe göre araya giren bir tür anket yürütülüyor. Üzgünüm. Slido nedense bir anketle başladı. Bu çok tuhaf. Pekala. Kısa mesaj iyi bir iki faktörlü müdür. Ne tür bir faktördür? Bildiğiniz bir şey mi? Hayır, çünkü onu bilmiyorsunuz, size bir kısa mesaj olarak gönderildiğinde onu bilmiyorsunuz, onu o an öğreniyorsunuz. Yani bildiğiniz bir şey değil. Acaba

SMS neden zayıf bir iki faktörlü kimlik doğrulamadır (1:11:00)

olduğunuz bir şey mi? Hayır, olduğunuz bir şey değil. Sahip olduğunuz bir şey mi? Sayılır. Tamam, sahip olduğum bir şey, kısa mesajı alan telefon benim diyebilirsiniz. Ancak kısa mesaj bir telefona değil, bir telefon numarasına gönderiliyor. Telefon numarası sizin mi? Ve cevap aslında telefon numarasının SIM kartı, daha doğrusu telefonunuzdaki SIM kartın bağlı olduğu hesap olduğudur ve bu hesabın sahibi kimdir? Cevap Vodafone, Verizon, AT&T, T-Mobile veya her kimse odur. Yani kısa mesajla iki faktörlü kimlik doğrulamanın sorunu, telefon numarasının size ait olmamasıdır. Telefon şirketine aittir. Ve telefon şirketinin güvenliği berbattır. İşte bu kadar, aslında bu kadar basit. Yani tek yapmanız gereken telefon şirketinin müşteri hizmetlerini aramak,

arka planda ağlayan bir bebek sesi açmak, bebek çığlık atarken bıkkın bir bebek bakıcısıyla konuşuyormuş gibi yapmaktır. Ve arka planda kocanız veya karınız size bağırıyordur. Sinir krizi geçiriyorsunuzdur ve gerçekten kötü bir gün geçiriyorsunuzdur. Müşteri hizmetlerindeki çok yardımsever ve çok empatik insanlar tüm güvenlik kontrollerini atlayacaktır çünkü eşinizin hesapta hangi şifreyi belirlediğini bilmiyorsunuzdur ve bu gerçekten acil bir durumdur ve gerçekten iletişime geçmeniz gerekiyordur. Ve acil bir durum olduğu için, numarayı şu anda etkinleştirilmesi gereken yeni telefonunuza seve seve taşıyacaklardır. Şimdi, eğer bu teorik bir saldırı gibi geliyorsa, aslında Def Con, Black Hat ve diğer hacker konferanslarında sosyal mühendislik saldırıları olarak adlandırılan bu tür saldırıların yapıldığı harika bir gösteri var. Ve

bunların en iyilerinden biri, çok ama çok yetenekli bir sosyal mühendislik hacker'ının bir gazeteciye, bir telefon şirketini arayarak, arka planda çığlık atan bir bebeğin kaydını çalarak ve bu acil durumda yardımları için yalvararak telefon numarasını ne kadar hızlı ele geçirebileceğini gösterdiği bir videodur. Ve kelimenin tam anlamıyla 10 dakikadan kısa bir süre sonra telefon numarasını ele geçirdiler, ardından bunu e-posta hesabını sıfırlamak için kullandılar ve daha sonra bunu diğer tüm hesaplarını sıfırlamak için kullandılar ve temel olarak 15 dakikadan kısa bir süre içinde tüm dijital kimliklerini tehlikeye attılar. İşte bu yüzden kısa mesajlar iki faktörlü kimlik doğrulamanın zayıf bir şeklidir. Ve eğer kaçınabiliyorsanız bunu kullanmamanız gerçekten önemlidir. Ancak anonim bir soruya gelirsek, hiç yoktan iyi midir? Hiç yoktan iyidir. Hiç yoktan iyidir eğer

daha iyi seçenekler seçebileceğiniz hesaplarda kullanmaktan kaçınabiliyorsanız. Bu nedenle, kısa mesajlar dışında bir şey kullanabileceğiniz tüm hesaplarda bunu kullanın. Diğer bir konu da telefon sağlayıcınızın kim olduğu hakkında çok dikkatli düşünmektir. Birçok güvenlik uzmanı, sosyal mühendisliğe maruz kalabilecek insan müşteri hizmetleri olmayan ve hesapların kendilerinin güçlü iki faktörlü kimlik doğrulamayla korunduğu telefon sağlayıcılarını kullanır. Örneğin, bir sanal ağ operatörü olan Google'ın Project Fi (F-I) hizmetinde konuşabileceğiniz insanlar yoktur. Ve bu telefon hesabına, evrensel bir iki faktörlü Token gibi güçlü bir iki faktörlü kimlik doğrulamayla güvence altına alabileceğiniz bir Google hesabı aracılığıyla bağlanır, erişir ve yapılandırırsınız. Bu, numaranızın taşınamayacağı anlamına gelir, bu da o numarayı, kısa mesaj tabanlı

iki faktörlü kimlik doğrulamayı (güvenlik konusunda berbat olan bankanız gibi yerlerde) güvence altına almak için daha güvenli bir şekilde kullanabileceğiniz anlamına gelir. Güvenlik konusunda en berbat şirketler açısından bankalar, telefon şirketleri ve ardından iyi güvenlik ekiplerine sahip gerçek hizmet sağlayıcıları gelir. Yani her şey katmanlarla ilgilidir. İkinci faktör kimlik doğrulamanız olarak kısa mesaj kullanmaktan başka seçeneğiniz yoksa, size kısa mesaj kullanmaktan başka seçeneğim olmayan bazı hizmetler kullandığımı söyleyebilirim. O zaman bu kısa mesajın iyi güvenliğe sahip bir hesaba gittiğinden emin olun. Telefon operatörünüzde bile hesabınıza bir PIN koyabilirsiniz. Numarayı taşıma özelliğini kapatabilirsiniz. O hesabı güçlendirmek için gidip her türlü şeyi yapabilirsiniz. Ancak yapabiliyorsanız, numaranızı sanal bir ağ operatörüne veya bunu yapabilecek insanları olmayan bir hizmet sağlayıcısına taşımanız daha da iyidir

Telefon numaranızı güvence altına alma (1:16:25)

sosyal mühendislik yoluyla numaranızın taşınmasıdır. Ve bu, telefon numaranızı kontrol eden faktörler üzerinde güçlü bir kimlik doğrulama sağlar. Ve eğer bundan kaçınabiliyorsanız kaçının. Özellikle de milyonlarca dolar değerinde kripto para sakladığınız borsanıza bağlanmak için ikinci faktör olarak kullanılıyorsa bundan kesinlikle kaçının. Ve elbette, burada, milyonlarca dolarlık kripto parayı bir borsa cüzdanında, emanet edilen (sizin coin'leriniz olmayan) bir sıcak cüzdanda, AT&T tarafından sağlanan SMS tabanlı iki faktörlü kimlik doğrulama ile saklayan ve şu anda AT&T'ye, ne bileyim, 50 milyon, yüz milyon dolar gibi saçma sapan bir miktarın kaybı için dava açan oldukça kötü şöhretli bir kripto para uzmanına üstü kapalı bir gönderme yapıyorum. Dürüst olmak gerekirse, bu öyle bir dava ki, uzman tanık olarak kürsüye çıksam 30 dakika boyunca kahkaha atardım

davacının yüzüne. Milyonlarca doları AT&T'nin kısa mesaj tabanlı iki faktörlü kimlik doğrulamasıyla korunan bir borsaya koymalarının başkasının suçu olduğunu söylediklerinde, buna pek sempati duymazdım. Pekala. Şimdi gerçekten işe yarayan iki faktörlü kimlik doğrulamadan bahsedelim. Bir donanım parçası olan güvenlik anahtarından bahsetmiştim, ancak çok yaygın olan ve hepinizin daha önce kullandığı, altı haneli bir sayıya sahip olduğunuz başka bir mekanizma daha var. Neeraj tam da bu konuyla ilgili bana çok yerinde bir soru sordu. Merhaba Andreas, Google veya Microsoft Authenticator nasıl çalışıyor? Bunların yerini alabilecek merkeziyetsiz bir sistem var mı? Neeraj, bunlar zaten merkeziyetsiz sistemler. Uygulama merkezi bir kuruluş tarafından oluşturulmuş olsa da, aslında oldukça basittir. Ve sonuç olarak, aslında merkeziyetsizdir. Bu kimlik doğrulayıcılarda saklanan sırlar

yalnızca yerel cihazınızda saklanır. Elbette bazı varyasyonlar var. Örneğin Offi gibi bu uygulamalardan bazıları, iki faktörlü kimlik doğrulamanızın temelini oluşturan sırları yedeklemenize ve başka bir cihaza taşımanıza olanak tanır. Bu da onları kullanışlı ama tehlikeli hale getiriyor. Offi'de veya yedeklemeleri destekleyen diğer sistemlerde birden fazla cihaz desteği açıksa, bunu kapalı tutmalı ve yalnızca başka bir telefona veya cihaza taşıma yaparken, örneğin akıllı telefonunuzu yenilediğinizde ve tüm bu hesapları yeni bir cihaza taşımanız gerektiğinde açmalısınız. Google Authenticator aslında son sürümünde yedekleme ve taşıma özelliğini tanıttı. Nasıl çalıştığını bilmiyorum, ancak bu şekilde çalışıyorsa, varsayılan olarak kapalı tuttuğunuzdan emin olun. Böylece yalnızca o yerel cihaz

bu güvenlik kodlarını kullanabilir. Aksi takdirde bu gerçekten iki faktörlü olmaz, değil mi? Sahip olduğunuz bir şey değildir. Yedek bir paroladır. Bildiğiniz bir şeydir ve kolayca çalınabilir veya telefon numaranıza bağlıdır. Bu durumda, daha önce bahsettiğimiz kısa mesaj güvenliğine geri dönmüş oluruz. Birisi SIM kartınızı taşır, numaranızı ele geçirir. Akıllı telefona kimlik doğrulayıcı yazılımını yüklerler. Daha sonra yedeği indirir ve o cihaza taşırlar. Ve aslında iki faktörlü kimlik doğrulama olmayan tüm iki faktörlü kimlik doğrulamalarınıza sahip olurlar. İşte bu bir başarısızlık senaryosudur, ancak öncelikle bu sistemin nasıl çalıştığından bahsedelim. Peki Google veya Microsoft Authenticator nasıl çalışır? Öncelikle bunun adını koyalım. Bu, tek kullanımlık parola veya OTP (one-time password) adı verilen bir mekanizmadır. Tek kullanımlık parolalar onlarca yıllıktır ve kullanılmışlardır, durun kendimi düzelteyim. Dijital

taşınabilir cihazlardaki tek kullanımlık parolalar onlarca yıllıktır. Tek kullanımlık parolaların kendisi aslında binlerce yıllıktır. Buradaki genel konsept şudur: Eğer rastgele sayılardan oluşan bir dizi oluşturursanız ve bir iletişimin iki tarafı bu dizinin bir kopyasına sahipse veya bu diziyi oluşturabiliyorsa ve başka hiç kimse bunu yapamıyorsa. O zaman çalınacak veya tahmin edilecek hiçbir şey yoktur. Tek kullanımlık şifre blokları (one-time pads), bu sırları üretebildiğiniz ve çaldırmadığınız sürece kırılamaz bir şifreleme yöntemidir. Ve sayısal, altı haneli kodlar olan tek kullanımlık parolaların çalınması çok ama çok zordur. Onları üreten kök sırları gizli tutabildiğiniz sürece. Şimdi, Google ve Microsoft Authenticator, zamana dayalı tek kullanımlık parolalar (TOTP) adı verilen tek kullanımlık parolaların belirli bir alt sınıfıdır. Ve zamana dayalı tek kullanımlık parola standardını destekleyen bir uygulama bulmak istiyorsanız, şu kısaltmayı kullanırsınız:

Zamana dayalı tek kullanımlık şifreler (1:21:56)

T-O-T-P. Yani OTP tek kullanımlık şifre (one-time password), T-OTP ise zamana dayalı tek kullanımlık şifre (time-based one-time password). Zamana dayalı olması, kodun mevcut zamana bağlı olduğu ve her 30 saniyede bir değiştiği anlamına gelir. Yani bunlar, kullanmak istediğiniz belirli bir zaman için belirli bir kod üretmek amacıyla gizli bir değer ve mevcut zamanla az çok doğru bir şekilde eşzamanlanmış olması gereken bir saat kullanır. Ve 30 saniyelik bir zaman penceresi olduğu için biraz gecikebilirsiniz; ekranda görüp web sitesine girmek için biraz vaktiniz olur. Bağlandığınız web sitesi veya cihaz aynı gizli değere sahip olduğu ve saatler az çok eşzamanlı olduğu için, hangi kodu girmeniz gerektiğini bulabilir. Genellikle bir öncekine ve bir sonrakine bakar, böylece biraz gecikip gecikmediğinizi anlar,

örneğin 30 saniyeyi biraz geçmişseniz bunları kabul eder. Ardından ekranınızda mevcut kodu ve küçük bir geri sayım görürsünüz. 30 saniye sonra bu değişir ve yeni bir altı haneli numaranız olur. Yani bunun çalışma şekli bir özel anahtar kullanmaktır. Ve bu özel anahtardan, çeşitli farklı şeyler olabilen bir türetme işlevi kullanır. T-OTP için standart kullanımın ne olduğunu bilmiyorum. Zamanla çalışan bir tür hash mekanizması olduğunu varsayıyorum. Ve bu türetme işleviyle, her 30 saniyede bir yeni sayısal kodlar üretir. Ve diziden, pardon, gizli değerlerden ve mevcut zamandan, mevcut zaman için doğru kodu hesaplayabilirsiniz. Gizli değerin kendisi, kullanmaya çalıştığınız hizmetin ilk seferde gösterdiği QR kodunun içindedir. Yani bunlardan birini kullanmaya gittiğinizde

bu cihazları (ve hepsi uyumludur, yani ister Google Authenticator, ister Microsoft Authenticator, Offi, Duo veya diğerlerinden herhangi birini kullanın, ayrıca çoğu parola yöneticisinde de bu T-OTP hizmetlerinden biri yerleşiktir). Tek yapmanız gereken, ikinci faktör doğrulamasını eklemeye çalıştığınız web sitesinden veya hizmetten bir QR kodunu taratmaktır. Ve bu QR kodu bir gizli değer içerir. Bu gizli değer, hesaplarınıza bağlı, rastgele oluşturulmuş alfanümerik bir dizidir. Ve web sitesi bunu sizin için rastgele üretir. Bir QR kodu olarak sunar. Bunu Google Authenticator cihazınızla tararsınız, Google Authenticator cihazınız bunu gizli değer olarak kaydeder ve ardından mevcut zaman için kodlar üretmeye başlar. Daha sonra bu kodlardan birini web sitesine girersiniz. Web sitesi bunu takip ederek ve "evet, beklediğim kod buydu" diyerek doğru girdiğinizi onaylayabilir

bu 30 saniyelik pencerede. Ve artık iki faktörlü kimlik doğrulamayı kurmuş oldunuz. Bunların zorluğu elbette yedeklemedir. Ve yedekleme yapmanın birkaç yolu vardır. Yedekleme yapmanın bir yolu, aslında dürüst olmak gerekirse muhtemelen en güvenli yolu, fiziksel bir çıktıdır. Yani o QR kodu ekranınızdayken yazdır'a basın. Fiziksel çıktı diyorum, çünkü başka bir şey yapmaya, yani fotoğrafını çekmeye eğilimli olabilirsiniz. Ve elbette, fotoğrafını çekmek için akıllı telefonunuzu kullanacaksınız. Sorun şu ki, bu fotoğraf bulutta saklanacak. Bu noktada artık sadece cihazda, Google Authenticator'da, T-OTP doğrulayıcıda kalmaz. Ve o noktada, artık güvenli bir ikinci faktör değildir. İki faktörlü kimlik doğrulama sırlarınızın bulutta

yedeklerini almak kötü bir fikirdir. Aslında, iki faktörlü yazılımın sahip olabileceği ve en azından kendi seçeceğiniz bir parolayla şifrelenmiş olan yedekleme özelliğini kullanmak daha iyidir. Peki bu parolayı parola yöneticinize nereye koyacaksınız? Gördüğünüz gibi burada bir kısır döngüye giriyoruz ve bazen kafa karıştırıcı olabiliyor. Bu yüzden bir yedekleme yapmak istiyorsanız QR kodunu yazdırın veya yazdırmayın; çoğu hizmette, iki faktörlü kimlik doğrulama Token'ınızı veya uygulamanızı kaybederseniz, onlardan bunu sıfırlamalarını isteyebilirsiniz. Ve kimlikleri havaya kaldırıp selfie'ler çekerek ve e-postalar, telefon görüşmeleri ve benzeri diğer birçok mekanizma aracılığıyla onaylayarak size kırk dereden su getirteceklerdir. Bu hizmetlerin birçoğu size, dinamik olarak üretilen kodlar yerine girebileceğiniz önceden hesaplanmış sayısal kodlar olan bir dizi yedekleme kodu da verecektir.

İki faktörlü kimlik doğrulamanın hiyerarşisi (1:26:44)

statik olanlar oluşturulur. Ve bunlar kimlik doğrulama cihazınızı kaybetmeniz durumunda kullanılır. Peki bunları nerede saklarsınız? Bunları şifre yöneticinizde saklarsınız. Yani zamana dayalı tek kullanımlık şifre uygulamasıyla iki faktörlü kimlik doğrulama, bugün tüm hesaplarınıza ekleyebileceğiniz güçlü, etkili ve kullanımı basit bir mekanizmadır. Şimdi güvenliğin hiyerarşisine bakalım. Evrensel iki faktörlü güvenlik anahtarı, çok ama çok güçlü şifreleme tabanlıdır. Bunlardan birkaç tane kaydeder ve güvenli yerlerde saklarsanız, ele geçirilmeleri çok zordur. Yedeklemesi çok kolaydır, fiziksel bir şeydir. Etrafta başka bir fiziksel şey tutarak yedeklersiniz. Kopyalanması imkansızdır ve siz fark etmeden çalınması imkansızdır. İkinci kademe, bir QR kodunu ve Neeraj tarafından bahsedilen gibi bir uygulamayı tarayarak kullandığınız zamana dayalı tek kullanımlık şifrelerdir. Bunlar size altı haneli bir

kodu her 30 saniyede bir verir. Yine, bu telefonunuzu, sahip olduğunuz bir şeyi ikinci faktör yapar ve bunları yedeklemek biraz zordur. Ve eğer telefonunuz çalınırsa, ele geçirilmeleri kolay olabilir. Parmak izi kullanmadan sayısal kodları görememeniz için iki faktörlü kimlik doğrulama uygulamasının kendisine bir parmak izi koymayı seviyorum. Şimdi, bu aslında ikinci faktörün üzerinde üçüncü bir faktördür, bu da birisi telefonumu çaldığında ve o sırada açık olduğunda beni korur; iki faktörlü uygulamama girebilirlerdi ama giremezler. Ve son olarak, en düşük kademe kısa mesajla iki faktörlü kimlik doğrulamadır, ki bu elbette başka seçeneğiniz yoksa güvenli değildir, bu durumda hiçbir şeye sahip olmamaktan daha iyidir. İşte iki faktörlü kimlik doğrulamanın kademeleri bunlardır. başka hangi sorularımız olduğuna bakalım, bu arada

ben de burada kısa bir mola vereyim. Ve size çevrimiçi çalışmalarımı neden desteklemeniz gerektiğini anlatan, destekçilerimden (patronlarımdan) bir video oynatacağım. Bugün yaptığımız ve her zaman yapmaya çalıştığım şey, size Bitcoin ve açık blokzincirleri hakkında sponsorlar olmadan, onaylamalar olmadan, reklamverenlere satılmadan veya kurumsal çıkarlara bağlı kalmadan tarafsız bir şekilde yüksek kaliteli eğitim materyalleri sunmaktır. Bunun için sizden başka kimse ödeme yapmıyor. Bu yüzden bu eğitimi beğendiyseniz, bu eğitimden faydalandıysanız veya sadece karşılığını vermek ve başkalarının bu eğitimi almasına yardımcı olmak ve benim ve ekibimin bunu yapmaya devam etmesine, daha iyi yapmasına ve daha geniş çapta yapmasına yardımcı olmak istiyorsanız, lütfen beni bir YouTube üyeliğiyle veya daha da iyisi aylık bir patron aboneliğiyle desteklemeyi düşünün. Ve destekçilerimin kendi kelimeleriyle, işte nedeni.

• Andreas'ın bir destekçisiyim çünkü videolarına çevrimiçi olarak rastladım ve Bitcoin'i bu şekilde öğrendim. Yani Bitcoin ile bu şekilde tanıştım. - Bu gece Andreas tarafından ücretli destekçilerine yönelik desteğinin bir parçası olarak düzenlenen sosyal bir etkinlikteyim. Londra'nın merkezinde birkaç içki içtik, bu yüzden gerçekten eğlenceli bir akşam oldu. Benimle aynı kafadan birçok insanla tanışma fırsatı buldum. - Andreas'ın yaptığı işi desteklemeliyiz. Yeni insanları Bitcoin'e ve Bitcoin eğitimine dahil etmek için çok şey yapıyor. - O harika bir öğretmen. Çok karmaşık konuları anlaşılması kolay bir şekilde açıklayabiliyor. Çok dürüst ve çok kesin. Hazırlıklı ve entelektüel olarak dürüst olabiliyorlar. Bence bu onun en iyi özelliği. - Bitcoin ve etrafındaki endüstri gibi gerçekten karmaşık bir konuya büyük bir netlik getiriyor. - Benim için

çok ama çok iyi bir ilham kaynağı oldu ve ona verdiğim her Bitcoin, Bitcoin'i anlamamıza yardımcı olmak için çok iyi kullanılacak. Ve bence bir noktada dünyayı iyileştirecek. - Bir destekçi olarak Andreas ile tanışma fırsatı buluyorum ve bu yüzden destekçi olmayı seviyorum ve destekçi olmaya devam edeceğim. - Bence bu sadece iyi bir şey. Yeni şeyler öğrenmekle ilgileniyorsanız ve aynı zamanda Bitcoin topluluğunu desteklemek istiyorsanız, o zaman bir destekçi olmalısınız. - Destekçi olmak kendinizi özel hissetmenizi sağlıyor. Canlı Soru-Cevap oturumlarına katılabiliyorsunuz. Onunla happy hour etkinliklerinde buluşabiliyorsunuz. Gerçekten harika, kesinlikle buna değer. Destekçi olma konusunda çok ama çok hevesliyim. - Harika ve değerli içeriğini reklamlardan arınmış bir gelecekte üretebilmesini ve sadece

Soru-Cevap: telefon numarası taşıma ve uygulama güvenliği (1:31:37)

destekçilerinin yardımıyla. Ve bu yüzden onu Patreon'da destekliyorum. (hafif müzik) - Pekala, bir sonraki soruya geçmeden önce, sohbette birkaç harika takip sorusu var. Yapımcım bunları benim için sağ olsun paylaştı. Öncelikle Lucia'dan bir takip sorumuz var, herhangi bir telefon numarası insansız bir müşteri hizmetine taşınabilir mi? Bu, kayıtlı olduğunuz ülkeye bağlıdır. Farklı ülkelerin telekom sağlayıcıları arasındaki taşınabilirlik hakkında farklı yasaları vardır. Ancak dürüst olmak gerekirse, çoğu Avrupa ülkesi ve kesinlikle Kuzey Amerika, Amerika Birleşik Devletleri ve Kanada'da durumun böyle olduğunu biliyorum, operatörlerin taşıma taleplerini yerine getirmesini zorunlu kılıyor. Ve bu, doğru süreçle numaranızı kaybetmeden taşıyabileceğiniz ve yeni bir operatöre geçebileceğiniz anlamına gelir. Ve sonra müşteri hizmeti olmayan,

insan çalıştırmayan bir operatöre geçebilirsiniz. Google Fi bu konuda en çok duyduğum operatör. Numara taşıma saldırılarına karşı benzer şekilde güvenli olan başka birçok operatör de olabilir. Bariz nedenlerden dolayı bazı gizlilik riskleri taşısa da buna sıcak bakıyorum. İkinci soru Ben'den geliyor ve Ben uygulamanızın gizli anahtarı sızdırmadığını nasıl bileceğinizi soruyor. Ben, uygulamanızın gizli anahtarı sızdırmadığını bilemezsiniz. Yalnızca birçok kişi tarafından kullanılan, güvenlik ortamında kullanılan, denetlenmiş, incelenmiş, belki de kodları denetlenmiş açık kaynaklı, güvenilir şirketler tarafından oluşturulmuş uygulamaları tercih edebilirsiniz. Güvenliği ciddiye alan, işleri bozmamak konusunda uzun bir geçmişe sahip olanları. Bu, karşı tarafa güvenmeyi gerektirir. Ancak, bahsettiğim neredeyse her şey karşı tarafa güvenmeyi gerektiriyor. O zaman soru şu: Karşı tarafa ne kadar güven

duyuyorsunuz ve bu karşı taraf kim? Ve alternatif nedir? Ve eğer alternatif bir uygulama kullanmamak ve hafızaya güvenmeye çalışmaksa, o zaman aslında alternatif daha kötüdür. Ve bu, güvenlikte kurmanız gereken dikkatli bir dengedir. Giderek daha fazla şirketin daha güvenli olan merkeziyetsiz kimlik doğrulama, merkeziyetsiz kimlik, merkeziyetsiz doğrulama için çeşitli mekanizmalar uygulamaya çalıştığını görüyoruz. Örneğin Bitcoin veya Ethereum üzerindeki çoklu imza genellikle bu tür hizmetlerin temelidir. Ancak şimdilik bu hizmetler nispeten olgunlaşmamış, geniş çapta dağıtılmamış ve bu tür çözümler için henüz uygun değil. Bu yüzden bu alanda gelecek için çok umutluyum. Bu arada sormanız gereken soru şu: İyi bir geçmişe sahip merkezi bir hizmet kullanmak mı daha iyidir, yoksa hiçbir hizmet kullanmayıp

hafızaya güvenmeye çalışmak mı? Ve buna kesin olarak şu cevabı verebilirim: Güvenilir veya iyi bir geçmişe sahip bir şirketten bir parola yöneticisi kullanmak, bir parola yöneticisi kullanmamaktan ve yanılabilir hafızaya, yanılabilir rastgeleliğe ve teknik yetkinliğinizi aşabilecek kendin yap (DIY) çözümlerine güvenmeye çalışmaktan daha iyidir. Bir sonraki soruya geçelim. Trixie'den geliyor: Andreas gözlüklere bayıldım. Ben de. Teşekkürler Trixie. Bunlarla dizüstü bilgisayarımda ne olduğunu gerçekten okuyabiliyorum. Yaptığım iki tür canlı yayın var. Bazıları biraz daha doğaçlama, daha çok sorulara dayalı. Dizüstü bilgisayarımda neler olup bittiğini çok fazla okumama gerek kalmıyor. Şurada güzel bir stüdyo monitörüm var, zayıflayan gözlerimle okuyabileceğim kadar uzakta. Ve bugünkü gibi bazıları biraz daha karmaşık. Çok fazla şey yapmam gerekiyor

Soru-Cevap: banka SMS'lerini daha güçlü kimlik doğrulamaya dönüştürme (1:36:01)

okumaktan. Dizüstü bilgisayarım masanın üzerinde. Ve bu yüzden bu şeylere ihtiyacım var. Ama teşekkürler, konudan saptık. Bu sorunun asıl özüne dönelim. Editörümüz için baştan alacağım. Trixie soruyor, bu aptal banka kısa mesajlarını Authy'ye veya benzeri bir şeye dönüştürmenin bir yolu var mı? Zamana dayalı tek kullanımlık bir şifre sistemine. Authy, bu zamana dayalı T-OTP, zamana dayalı tek kullanımlık şifrelerden biridir. Trixie hayır, yok. Bankanızın kısa mesaj dışında bir şeyi destekleyen bir mekanizması olmadığı sürece, zamana dayalı tek kullanımlık bir şifre kullanamazsınız. Bu durumda doğru cevap kısa mesaj kullanmaktır, ancak telefon sağlayıcınızı zamana dayalı tek kullanımlık şifre gibi güçlü bir kimlik doğrulama mekanizması gerektiren veya daha da iyisi bir güvenlik anahtarı ile evrensel iki faktörlü doğrulama sunan veya bu seçenekleri yapılandırabileceğiniz bir sağlayıcıyla değiştirin. Böylece numaranız başka bir operatöre taşınamaz çünkü bu güçlü bir kimlik doğrulama gerektirir. Ve

eğer numaranız taşınabiliyorsa, o zaman banka kısa mesajınız çok ama çok daha güvenlidir. Trixie'den harika bir soruydu. Bakalım burada başka hangi sorularımız var. Çok fazla başka soru göremiyorum, bu yüzden, Ah, işte geldi. Ah, moderatörler şimdi harıl harıl soruları çekiyor ve daha fazla soru bulabilmemiz için onları benim için sıraya koyuyorlar. Umarım bugünkü oturumdan keyif alıyorsunuzdur. Şimdiye kadar öğrendiklerimizin kısa bir özetini yapayım. Güvenlik hiçbir zaman yüzde yüz değildir, güvenlik, kararlı bir saldırgana karşı bir dizi bariyer sağlamak için diğer çözümlerle katmanlandırılmış, bulabileceğiniz en basit ve en tutarlı şekilde uygulanan çözümle teknik yetkinliğiniz dahilindeki gerçekçi riskleri yönetmekle ilgilidir. Güvenliği doğru yaparsanız, bu önlemlerle rahat edersiniz. Bunları tutarlı bir şekilde uygulayabilirsiniz ve

hem becerilerinize hem de tehdit ortamınıza dikkatlice uyan yeterli katmanlara sahip olursunuz, böylece bir saldırganın size saldırmak için ne zamanı, ne kaynakları, ne bütçesi, ne de ilgisi, yani ödülü olur. Ve bunun yerine daha kolay bir hedefe saldırırlar ve güvenlik temel olarak budur. Bu konuda kusursuz olamazsınız. Aslında, siz bir insansınız. Bu yüzden, tanım gereği kusurlu olacaksınız. Bunu tutarlı bir şekilde ve beceri seviyeniz dahilinde yürütebilmeniz gerekir, bu da yeterince basit olması gerektiği anlamına gelir. Tek bir araç, teknik, uygulama veya eylemle çözülemez, bu nedenle birden fazla aracı, birden fazla tekniği, birden fazla eylemi bir arada katmanlandırarak kullanmalısınız; tercihen saldırganlardan farklı beceriler gerektiren, farklı tehditleri koruyan çeşitli güvenlik mekanizmalarını katmanlandırabilir ve kapsamlı bir sistem oluşturabilirsiniz. Ve bu bile sizi

yüzde yüz güvenliğe ulaştırmayacaktır, ancak, bilirsiniz, bunu tutarlı bir şekilde yaparsanız, bilinçli bir şekilde yaparsanız ve hem tehdit ihtiyaçlarınıza hem de beceri seviyenize göre iyi bir şekilde uyarlarsanız, dürüstçe "Yıllardır hacklenmedim" diyebilen seçkin insan grubuna katılabilirsiniz. Yapabileceğinizin en iyisi budur, ancak bu genellikle oldukça iyidir. Ve sizi diğer birçok insanın çok ötesine taşır. Anonim bir kullanıcı soruyor: Henüz yakından karşılaştırmaya, öğrenmeye veya herhangi birini denemeye fırsat bulamamış biri için şifre yöneticileri hakkında herhangi bir endişenizi veya önerinizi paylaşabilir misiniz? Yıllar boyunca birçok farklı şifre yöneticisi kullandım, çok ama çok yaygın olarak kullanılan ancak favorim olmayan bazıları var. Bulunduğum cihaza bağlı olarak zaman zaman veya her zaman isteksizce kullandıklarım var. Gözde olan

veya gözden düşen bazıları var. Ve öne çıkan bazı yenileri var. Sizin için neyin doğru olacağını gerçekten söyleyemem. Muhtemelen en popüler ikisinin LastPass adlı bir sistem ve 1Password adlı bir sistem olduğunu söyleyebilirim; 1 rakamı, ardından password kelimesi, hepsi tek kelime. 1Password ve LastPass muhtemelen en çok bilinenleridir. Bunun ötesinde, farklı yeteneklere ve ayırt edici özelliklere sahip bir dizi başka sistem daha var. İlgiyle baktığım biraz daha yeni olanlardan biri Bitwarden, çünkü bu çoklu platform destekli ve oldukça iyi tasarlanmış açık kaynaklı bir sistem. Ancak günün sonunda, örneğin donanım cüzdanı üreticileri için verdiğim tavsiyenin aynısını, şifre yöneticilerimiz için de vereceğim. Diyelim ki en iyi üç, dört tanesi arasındaki farklar,

Soru-Cevap: şifre yöneticilerini karşılaştırma (1:41:43)

bu alanda ürünlerin küçük, ufak tefek farklılıklara sahip olduğu beş şirket var. Hepsi oldukça iyi. Hepsi oldukça güvenli. Hepsi oldukça tutarlı. En iyi dört veya beş şifre yöneticisinden biri ile hiç şifre yöneticisine sahip olmamak veya hafızanıza güvenmeye çalışmak ya da kendi çözümünüzü oluşturmaya çalışmak arasındaki fark çok büyüktür. Yani soru, bunlardan hangisini kullanmalıyım değil. Soru, bir tane kullanmalı mıyım, cevap evet ve çok fazla zaman kaybetmeyin. Bunu düşünmenin bir yolu, ailenizdeki diğer kişilerin ne kullandığıdır. Böylece şifreleri onlarla kolayca paylaşabilirsiniz. Bunların çoğu kapalı ekosistemlerdir. Bu yüzden ailenizdeki herkes bit warden kullanıyorsa, sizin de bit warden kullanmanız daha iyidir. Şirketiniz veya işvereniniz bir tane kullanıyorsa, o zaman muhtemelen

çok fazla uygulamanın çalışmasına ve çok fazla karmaşıklığa sahip olmamak adına, iki ayrı hesabı ayrı tutabildiğiniz sürece kişisel işlevleriniz için de aynısını kullanmanız daha iyi olacaktır. Tekrar ediyorum, basit tutun. Sormanız gereken tek soru, bunlardan birini ne kadar hızlı kurup çalıştırabileceğim ve ardından düzgün bir şekilde güvenliğini sağlayabileceğim ve sonrasında en önemlilerinden başlayarak tüm web sitelerindeki tüm şifreleri değiştirebileceğimdir. Anonim bir kullanıcı, Google Authenticator'ın ilk kurulumunun ve uygulamasının, asimetrik şifreleme kullanan Bitcoin'in aksine simetrik bir anahtar olup olmadığını soruyor. Evet, öyle. Ve T-OTP standardının ne olduğunu bilmiyorum çünkü hiç incelemedim. Simetrik şifreleme bile olmayabilir. Bir şifre uzatma algoritması olabilir. Aslında, büyük ihtimalle şuna dayalı bir tür dizidir:

hash'ler kullanarak türetme. Ama bilmiyorum, araştırmadım. Asimetrik değil, bunu söyleyebilirim. Yani bu bir özel açık anahtar sistemi değil. Simetrik şifreleme nedir? Asimetrik şifreleme nedir? Bu, sohbette gündeme gelen başka bir soruydu. Asimetrik şifreleme, bir çiftte iki anahtarın bulunduğu ve bunlara özel ve açık anahtar dediğimiz ve biri tarafından şifrelenen şeyin yalnızca diğeri tarafından şifresinin çözülebildiği ve bunun tersinin de geçerli olduğu durumdur. Yani bir şeyi özel anahtarınızla şifrelerseniz, şifresi yalnızca özel, yani açık anahtarınızla çözülebilir. Ve bir şeyi açık anahtarla şifrelerseniz, şifresini yalnızca özel anahtara sahip kişi çözebilir. Ve bu tekniklerin kombinasyonu dijital imzalar için kullanılır. Ve iki alıcı arasındaki verilerin şifrelenmesi ve şifresinin çözülmesi için kullanılır. Ancak bunun anlamı şudur:

bana yönelik bir şeyin şifresini çözmek istiyorsanız, açık anahtarıma ihtiyacınız vardır. Eğer onu herkese açık ve paylaşması kolay olan açık anahtarımla şifrelerseniz, o zaman şifresini yalnızca ben çözebilirim. Eğer onu birçok kişi için şifrelemek istiyorsanız, hepsinin açık anahtarlarına ihtiyacınız vardır ve onu hepsinin açık anahtarlarıyla ayrı ayrı şifrelemeniz gerekir. Simetrik şifreleme, hem şifreleme hem de şifre çözme işlevi gören tek bir anahtarınızın olduğu yerdir. Ve aslında, 1970'lere kadar simetrik şifreleme tek şifreleme mekanizmasıydı. Asimetrik şifreleme, yanılmıyorsam 1970'lere kadar icat edilmemişti. İşte simetrik ve asimetrik arasındaki fark budur. Bakalım, sanırım burada bir tane daha var. Carlos'tan başka bir takip sorusu. Kimlik doğrulama için Bitcoin imzalarını ne zaman kullanacağız? Bugün kimlik doğrulama için Bitcoin imzalarını kullanabilirsiniz. Sorun şu ki,

onu nasıl yapılandıracağınıza dikkat etmeli ve tam olarak neyi kanıtladığınızı anlamalısınız. Bir Bitcoin imzası ve genel olarak kimlik doğrulama için dijital imzaların kullanımı, çok spesifik ve çok dar bir dizi şeyi kanıtlar. Diyelim ki bana bir mesajı Bitcoin özel anahtarımla imzalamamı, bir imza üretmemi ve ardından bunu dünyayla paylaşmamı söylediniz. İşte kanıtladığım birkaç şey. İmzanın oluşturulduğu sırada özel anahtara sahip olduğumu kanıtlıyorum. Elbette bu, o imzayı yıllar önce üretmediğim anlamına gelmez. İmzanın ne zaman üretildiğini bilemezsiniz. Diğer bir şey ise, bunu uygulanabilir bir şemada kullanabilmek için, imzayı isteyen kişinin meydan okuma-yanıt (challenge response) adı verilen işlemi yapması gerektiğidir. Sadece bir şeyi imzala diyemem, çünkü eğer alırsam

Soru-Cevap: Kimlik doğrulama için Bitcoin imzaları (1:47:01)

mesajı seçmek için, temelde başka birinin geçmişte uzun zaman önce imzaladığı bir mesajı seçebilir, uyguladıkları imzayı sunabilir ve bunu az önce yaptığımı size söyleyebilirim. Ve bunun doğru olup olmadığını bilmenizin hiçbir yolu yoktur. Bu yüzden bu senaryoda, bunun yerine meydan okuma-yanıt (challenge-response) yöntemine ihtiyacınız var. Bu yüzden diyeceğim şey şudur: Lütfen CarlosM, 'Ben CarlosM, bugün Aralık'ın beşi mi? Bilmiyorum bile, her neyse, 5 Aralık 2020'de özel anahtarıma sahibim' diyen bir mesajı imzala. Ve bu mesajı Andreas'ın isteği üzerine imzalıyorum. Yani burada ne demek istediğimi anlıyor musunuz? Bunun yaptığı şey, onu zamana sabitlemektir. Sizden imzalamanız için belirli bir mesaj isteyene kadar mesajın ne olduğunu bilemezdiniz. Bunu belirli bir aktiviteyle ilişkilendirirsiniz. Sizden

imzaladığınız zaman ve imzalayanın kimliği hakkında oraya bilgi koymanızı istedim. Bu işi çok daha zorlaştırıyor, ama yine de bunu Carlos'un imzalayıp imzalamadığını bilmiyorum. ABD'de önerilen ve AB'de halihazırda uygulanmakta olan yeni seyahat kuralları için bir adrese sahip olduğunuzu kanıtlamak amacıyla cüzdanlarla imzalama hakkında konuştuğumuzda da benzer bir sohbet etmiştik. Ve elbette, eğer Carlos bir adrese sahip olduğunu kanıtlamak isteseydi ve ben ona böyle bir mesaj verseydim, tek yapması gereken o mesajı Jimmy'ye vermek, Jimmy'ye 'bu Carlos' diyerek imzalattırmak, Jimmy'nin bunu Carlos'a geri vermesi, Carlos'un da bana vermesi olurdu ve ben de Carlos'un özel anahtara sahip olduğunu kanıtladığını düşünürdüm, oysa aslında Jimmy'dedir ve birlikte çalışıyorlardır. Yani bu karmaşık bir durum. Bu

ilk bakışta göründüğü kadar basit değil. Pekala, bakalım. Belki bir soru daha cevaplayacağım. Oh, bu iyi bir soru. Bunu gerçekten sevdim. Bu Jeff'ten gelen bir soru. Jeff Tezos soruyor: TV'de veya benzeri Amazon, Netflix gibi yerlerde kumandanızla manuel olarak girmeniz gereken şifreler ne olacak? Ne kadar uzun ve zor olmalı? Jeff, ben de bu konuda zorlandım. Ve buna bir cevabım var, size birazdan vereceğim. Şimdi, Jeff'in bahsettiği senaryoyu hayal edin, Netflix hesabınız için semboller içeren benzersiz, alfanümerik 32 karakterli bir anahtar oluşturmak üzere şifre yöneticinizi kullandınız. Şimdi bunu akıllı bir Roku TV'nin klavyesinde girmeniz gerekiyor, burada her harf küçük imlecinizi klavyedeki doğru harfe getirip enter'a basarak girilmelidir,

ve sonra geri dönüp caps lock'a inerek caps lock'u açmak ve yukarı çıkıp büyük harfe gitmek ve sonra caps lock'u kapatmak ve ardından sembole geçip sayısal klavyeye geçmek. Aman Tanrım, bu saatler, saatler sürecek. Ve evet, bu durumlarda, güvenliğinizin o kadar kritik olmadığı durumlarda söyleyeceğim şeyle aynı, bu anahtarı genellikle başkalarıyla paylaşmak zorunda kaldığınız bir şey yapmanız gerekir. Buna iyi bir örnek wifi şifreniz olabilir, değil mi? Bu yüzden bu durumlarda yapacağım şey, basit bir sayısal veya alfabetik şifre kullanmak olurdu. Hepsi tek bir karakter sınıfından ve biraz daha uzun. Yani birisi Netflix'imi hackleyip Queen's Gambit izlediğimi fark ederse umurumda olmaz. Tabii ki Queen's Gambit izliyorum. Herkes

Queen's Gambit izliyor. Bu hafta Queen's Gambit haftası. Benim için pek önemli değil, gerçi bunu izlerken nerede olduğumu anlayabilmek gibi bazı güvenlik hususları var. Yani hala bir şifreye ihtiyacım var. Ancak o kadar uzun olması gerekmiyor çünkü birinin onu kırmaya çalışması pek olası değil. Asıl mesele, Airbnb'den ayrılırken Roku TV'yi sıfırlamayı hatırladım mı? Aha. Bu iyi bir soru. Peki ne yapıyorum? Genellikle sayısal bir şifre veya alfabetik ya da küçük harfli bir şifre seçiyorum ve bunu gruplara ayırıyorum. Yani yapacağım klasik bir şey, eksi veya tire işaretleriyle ayrılmış 12 sayıdır. Yani bu, dörtlü üç grup veya üç haneli dört grup yapacağım anlamına geliyor. Yani şifrem dokuz üç yedi tire üç bir iki tire üç gibi bir şey olacak

Soru-Cevap: TV kumandaları ve düşük güvenlikli cihazlar için parolalar (1:52:10)

üç bir tire dört bir beş. Şu an sadece rastgele sayılar seçiyorum. Bu arada çok da iyi bir rastgelelik değil. Parola yöneticimde bir rastgele sayı üreteci kullanırdım. Sadece rakam vermesini ve 12 karakter uzunluğunda olmasını söylerdim. Sonra da aralarına tire koyarak güzel dörtlü gruplar halinde yazardım, çünkü bunu bir ekrandan okumak ve klavyeye yazmak benim için daha kolay. Genellikle sayılar ve tire aynı klavyededir ve birbirlerine çok kısa mesafededirler, bu yüzden bunları hızlıca yapabilirim veya daha da iyisi, birçok uzaktan kumanda klavyenin sayısal kısmını kullanmanıza izin verir, ki bu da şunun içindi... Eskiden televizyonumuzda kanallar vardı ve bu kanallar sayısal kanal numarasıyla seçilirdi. Biliyorum, akıllara durgunluk veren bir teknoloji.

Yani birçok kumandanın üzerinde bir sayısal tuş takımı bulunur. Bu da bir parola girmeyi çok daha kolay hale getirir. Teşekkürler Jeff. Bu harika bir soruydu. Ve güvenliği dengelemek hakkında çok pratik bir soru. O kadar da güvenli olmayan ve asıl büyük riskin Airbnb'den ayrılırken o parolayı silmeyi veya sıfırlamayı unutup başkalarının bulmasına izin vermek olduğu bir Hesabı korumak için gerçekten, ama gerçekten tüm bu zahmete girmek istiyor musunuz? Ki bu noktada işler biraz karışabilir. Jeff'ten benzer bir soru. Oops. Oh hayır, Jeff değilmiş. Özür dilerim, bir saniye. İşte oldu. İşe yaradı mı? Bugün uygulamalarımda biraz gecikme var. Mike, örneğin tüm banka kartlarında kullanılan dört haneli bir PIN kullanmak ne kadar güvenlidir diye soruyor. Mike bu duruma göre değişir, bu

bu PIN'i nereye girebildiğinize bağlıdır. Dört haneli bir PIN'in banka kartlarında güvenli olmasının nedeni, bunu yalnızca bir PIN cihazı veya ATM gibi bir güvenlik cihazına girebilmenizdir. Bu cihazlar, belirli bir sayıdan fazla deneme yapmanızı engellemek için tasarlanmıştır. Ve eğer bunlar gözetim altındaki cihazlarsa, yani benzin istasyonundaysanız, bir süpermarketin kasasındaysanız, her neyse orada duran bir kişi vardır ve birkaç kereden fazla tuşlama yaparsanız, bunu yaptığınızı görebilirler ve 4.000 farklı kombinasyon girmeye çalışırsanız güvenliği çağırırlar. Ve sadece orada oturup saatlerce tüm olası kombinasyonları deneyebileceğiniz gözetimsiz bir cihaz olduğunda, ATM'lerde bildiğiniz gibi aslında kilitlenir ve kartınızı yutar. Yani

bankanın politikasına bağlı olarak dört kez, altı kez veya üç kez yanlış girersem, kartımı yutacak ve bana denemek için başka bir şans vermeyecektir. Yani mesele sadece PIN değil, o PIN'in nasıl kullanıldığının bağlamıdır. Nereye girildiği, kaç kez deneyebileceğiniz ve bu katmanlı güvenlik mekanizmalarında başarısız olursanız ne olacağıdır. Yani evet, dört haneli bir PIN, yanlış girdiğinizde kartınızı yutmak veya çok fazla denemenize izin vermemek gibi ek güvenlik katmanlarının bulunduğu ATM'ler ve PIN cihazları gibi kontrollü erişim cihazları bağlamında yeterince güvenlidir. Bence bu iyi oldu. Birçok konuyu ele aldık. Tüm bu harika sorular için çok teşekkür ederim. Gerçekten iyi yorumlar bıraktığınız için teşekkürler. Bana bu

özel oturum hakkında neyi sevdiğinizi söyleyin. Yaptığımız diğerlerinden biraz farklıydı. Bitcoin ve açık blokzincirleri yolculuğunuzda size yardımcı olması için başka neler öğrenmek istediğinizi bana söyleyin. Ve unutmayın, önümüzde bu oturumlardan birkaç tane daha var. Size yaklaşan bir sonraki etkinliklerimizi göstereyim: Garip Tatil Sohbetleri, Garip Tatil Sohbetleri. Yaklaşan bir sonraki etkinliğimiz bu. Sizi doğru cevaplarla ve ayrıca şu anda Patreon ve diğer platformlardaki yorumlarda aileleriyle yaşadıkları garip tatil sohbetlerini paylaşan diğer insanların komik hikayeleriyle donatacağım. Çoğunlukla Bitcoin ve açık blokzincirleri hakkında, bazen de canlı yayında ele almayacağımız kadar durumu çok daha garip hale getiren konular hakkında. Ardından, herhangi bir soruyu sorabileceğiniz ve benim de cevaplamayı seçebileceğim Aralık ayı açık konu Soru-Cevap etkinliğimiz var. Ve

Kapanış (1:57:25)

son olarak 2021 Extravaganza Etkinliğimiz var. Bu etkinliklerin ne zaman gerçekleştiğini öğrenmek ve haklarında bilgi sahibi olmak için lütfen kanalıma abone olun. Zil simgesine tıklayarak bildirimleri açın, böylece bu yeni etkinliklerden ilk siz haberdar olursunuz. Bugün bana katıldığınız için teşekkür ederim; bugün kanalda, bu neredeyse iki saatlik sunum için bize katılan 300'den fazla kişi canlı yayındaydı, ancak ele alacağımız çok şey vardı. Şimdi, ben bunu yaparken, muhtemelen farklı renklerde harika renklere sahip bir yığın kitabım olduğunu fark etmişsinizdir. Renklerin tadını çıkarmak için bunların basılı sürümüne ihtiyacınız olsa da, içeriklerini aslında bir e-kitap olarak okuyabilirsiniz. Ve bu e-kitabı antonov.com/shop adresindeki mağazamdan alabilirsiniz. Ayrıca bunun gibi kupalar da alabilirsiniz. Ve

bu arada, bunlar gerçekten harika kupalar. Büyükler, ağırlar. Isıyı koruyorlar. Kırılmaları çok zor. Biliyorum, denedim. Onları birkaç kez düşürdüm ve o tuhaf tatil sohbetlerini atlatmak için hepimizin ihtiyaç duyacağı bolca kahveyi alabiliyorlar. Yani, Pazartesi gününe kadar, önümüzdeki iki gün boyunca, size tüm ürünlerde %20 indirim sağlayan tatil indirimimiz var. Satın alabileceğiniz şeylerden biri de kendi kripto paranızı seçin atölyesidir. Ve %20 indirim bunun için de geçerlidir. 2020 tatil indirimi mağazada mevcuttur, kuponu bulmak için mağazanın ana sayfasına gidin: antonov.com/shop. Bu video için aşağıya yorum bırakmayı unutmayın. İzlediğiniz için çok teşekkür ederim. Harika bir hafta sonu geçirin. Herkese hoşça kalın.